前端安全问题主要有XSS、CSRF攻击。
XSS:跨站脚本攻击。它允许用户将恶意代码植入到提供给其他用户使用的页面中,即脚本注入。
XSS的防御措施:
1、过滤转义输入输出
2、避免使用eval、new Function等执行字符串的操作
3、使用cookie的heepOnly属性
4、使用innerHTML、document.write的时候,如果是用户输入的,需要过滤和转义
CSRF:跨站请求伪造。就是在网站中的一些提交行为,被黑客利用,在你访问黑客的网站的时候进行操作,会被操作操其他网站上。
CSRF的防御措施:
1、检测http referer是否是同域名
2、避免登录的session长时间存储在客户端中
3、关键请求使用验证码或者token机制
其他的攻击方法还有HTTP劫持、操作界面劫持