阅读 213

WEB前端安全——Cookie安全、密码安全、点击劫持

一 Cookie安全

Cookie的安全和CSRF是有紧密联系的,CSRF攻击本质就是利用Cookie存储的信息。下面介绍几个重要的Cookie的属性。

1 Secure

指定Cookie是否只能通过https协议访问,一般的Cookie使用HTTP协议即可访问,如果设置了Secure,则只有当请求是使用https协议时cookie才会被发送到服务端。

2 HttpOnly

如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息。这是防御XSS的一个方法。

3 SameSite

SameSite-cookie的目的是尝试阻止CSRF以及XSS攻击,可以防止cookie被非同源的网站利用。但是这个属性有浏览器兼容性的问题。其有两个值:

Strict 严格模式,表明这个 cookie 在任何情况下都不可能作为第三方 cookie,绝无例外。

Lax 宽松模式,比 Strict 放宽了点限制。假如请求是同步请求(改变了当前页面或者打开了新页面)且同时是个 GET 请求,则这个 cookie 可以作为第三方 cookie。假如请求是异步请求,或者页面跳转是通过表单的 post 提交触发的,则不会发送。

二 密码安全

1 密码泄露渠道

  • 数据库泄漏
  • 服务器入侵
  • 传输过程被窃听

2 密码安全要求

  • 存储安全:严禁明文存储
  • 传输安全:严禁明文传输、限制频率

严禁明文传输的意义是防止传输过程中明文密码被窃听,严禁明文存储的意义是防止明文密码被盗取或泄漏。

3 传输安全

HTTP在传输过程中是明文的,这意味着我们网站的信息是会被泄漏的,也意味着攻击者可以对我们的网站进行劫持,例如注入广告。解决方案是升级HTTPS,HTTPS是加密传输的。当然,HTTPS也有许多的设置,有一些加密方式也是不安全的,这需要开发者进行选择。

4 密码加固方法

  • 单向变换(哈希算法)——防泄漏
  • 变换的复杂度要求(多次变换)——防猜解
  • 密码复杂度要求(加盐)——防猜解

密码加固主要是通过哈希算法(即摘要算法,例如MD5/SHA)对密码进行处理,这种算法是不可逆的,但是可以通过彩虹表进行破解,所以对密码进行一次哈希处理是不够安全的,可以通过多次哈希处理以及多次不同的哈希算法来提高破解难度。也可以在哈希处理前,给密码加盐(在密码固定位置中加入特定的字符串)来提高密码的复杂度。

5 前端加密

前端加密的意义有限,能防止密码明文在传输过程中被窃听和泄漏,但是无法阻止用户资料被盗取或被登录,意思是前端加密的密码只能保证明文密码不泄漏,但是无法保证前端加密后的密码不泄漏。

三 点击劫持

点击劫持,又称界面伪装攻击,攻击者一般通过透明的iframe(目标网站),覆盖在攻击者的网页上,并诱导用户进行操作。这种一般会利用XSS或CSRF漏洞来进行攻击。解决方案是通过设置HTTP头X-Frame-Options,来防止网页被Iframe加载。它有三个值:

DENY:浏览器会拒绝当前页面加载任何frame页面

SAMEORIGIN:frame页面的地址只能为同源域名下的页面

ALLOW-FROM origin:允许frame加载的页面地址

四 后记

本文简单地介绍了Cookie安全、密码安全、点击劫持这三个方面值得注意的地方,如果想了解更详细的前端安全,可以阅读本文的大哥篇: WEB前端安全——XSS和CSRF

关注下面的标签,发现更多相似文章
评论