关于前端XSS攻击、短信轰炸等问题

时间:2022-02-15 23:02:23

关于前端的XSS攻击:

  这里有一篇Ryf老师的写的关于使用  Content Security Policy (简称 CSP 防御)来防御xss攻击,简单来说就是设置白名单,告诉浏览器哪些链接、内容是可以加载的

  有两种方式:

  一、通过 HTTP 头信息的Content-Security-Policy的字段

  二、通过meta 标签设置

  <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; "/>
  
  如果请求的资源不是设置的content,浏览器会自动拒绝访问 详细的使用说明,可以看一下原文

  http://www.ruanyifeng.com/blog/2016/09/csp.html

关于项目中遇到的短信轰炸漏洞问题:

  在网上搜寻的许久、无非给出几种解决方案:

  (1)增加图形验证
  (2)单IP请求次数限制
  (3)限制号码发送

  增加图片验证,虽然可以防止恶意抓包,但在移动端的交互体验上会很不友好;IP请求限制目前鉴于平台无法控制,放弃此方案;目前折中的做法就是服务器端做频次控制