常见的web前端攻击方式

一、什么是web攻击，常用的攻击方式有哪些？

web攻击：针对用户上网行为或网站服务器等设备进行攻击的行为，如植入恶意代码，修改网站权限或者获取用户隐私信息等等

我们常见的攻击方式有：

XSS 跨站请求攻击

CSRF 跨站请求伪造

点击劫持

SQL注入（很早以前前后端不分离时的攻击方式）

二、XSS 跨站脚本攻击

攻击实现步骤：

1、我发表一篇博客，其中嵌入

预防XSS攻击方式：

方式一：对内容进行转码，将< 变为 < >变为> 。即将

而此时浏览器中已经保存里A网站的cookie信息。这样，CSRF攻击就生效了

预防CSRF攻击方式：

1. 尽量使用post 接口

2. 增加验证（比如token、验证码等等）

为 cookie 设置 SameSite 属性设置Strict或 Lax,

SameSite=Strict 表示跨站点时，任何情况都不会发送cookie.只有当前页面的URL 与请求目标一致，才会带上cookie

Set-Cookie: CookieName=CookieValue; SameSite=Strict;

SameSite=Lax规则稍稍放宽，大多数情况不发送第三方cookie,但是导航到目标网站的Get请求除外（a标签连接、GET 表单、预加载请求 这三种情款仍会发送第三方cookie）

四、点击劫持

什么是点击劫持：

是一种通过透明或者半透明的覆盖层，欺骗用户点击的攻击方式

实现步骤：

黑客在自己的网站，使用隐藏的