網頁前端也同樣要注意Web安全

來源:互聯網
上載者:User

此文刊登在《程式員》三月期,有刪改

提到安全問題,首先想到應付這些問題的應該是系統管理員以及後台開發工程師們,而前端開發工程師似乎離這些問題很遙遠。然而,在 2008 年發生在安全領域的一系列 Web 安全事件,改變了人們對於傳統安全的觀念。讓我們在這裡簡要回顧下:

IE7 的 0day 漏洞以及 Chrome 崩潰事件

2008 年的年底,IE7 爆出了個很嚴重的安全性漏洞。與往期微軟的漏洞不同,這次的漏洞是從 IE7 發布時起就存在(這也是稱之為 0day 漏洞的原因)。

該漏洞的原理,就是通過解析某段精心構造的 XML 造成 IE7 記憶體溢出,進而可執行任意的代碼。雖然官方很快發布了此漏洞的補丁,但此漏洞仍然影響至今。

另個類似的瀏覽器風波,就是 Google 在 08 年 Q3 發布 Chrome 瀏覽器。在 Chrome 發布當天,駭客們就發現只要在地址欄中輸入構造好的字元就能導致瀏覽器崩潰。此後即便 Google 迅速的修複了該漏洞,但已經對使用者造成了非常糟糕的印象。

感歎:瀏覽器平台的安全問題,直接影響著該瀏覽器日後的市場份額。好比當年 Firefox 起家時也正因著重打安全這張重牌,才有今日的收穫。即將推出的 IE8 瀏覽器,微軟已經在各種場合大肆宣揚該新瀏覽器的安全效能。由此,正說明各瀏覽器廠商對安全這塊的重視程度。相信目前正酣的瀏覽器戰場,對於安全這塊必然 是兵家必爭之地。

各微部落格的 CSRF 和 Clickjacking 漏洞

微部落格的流行是 Web2.0 大潮中的奇葩,然而近期爆發的 飯否、嘰歪、Twitter 等的安全性漏洞,著實讓前端開發工程師大開眼界。飯否 和 嘰歪 的 CSRF 漏洞,使得攻擊者能通過段 Javascript 代碼在使用者不知情的情況下,向微部落格伺服器發布相應的訊息,從而造成攻擊。

感歎:用戶端的 Javascript 指令碼早已經擺脫僅僅是顯示頁面效果的“玩具”,它已經變成一把利刀。這把刀能幫前端解決問題的同時,也能傷害到使用者。

同比,年初爆發的 Twitter Clickjacking 漏洞,它將 Twitter 的發佈頁面通過 iframe 嵌入到第三方頁面,然後通過 CSS 使得並將 Twitter 的發布按鈕與第三方頁面的按鈕重合。這樣,當使用者本意點擊第三方頁面的按鈕時,實際上點擊的是 Twitter 頁面的發布按鈕,進而造成攻擊。

感歎:前端攻擊方式也正逐漸的升級,防範前端代碼的攻擊不僅僅就是防範 Javascript 等前端指令碼,CSS 甚至 HTML 也能構成攻擊。

“精武門”安全峰會

“精武門”安全峰會是阿里巴巴集團組織的針對 Web 應用程式安全的研討會。和往年討論後台安全不同,今年重點著重討論 Web 攻擊的方式和防範。眾多國內著名的安全小組集聚一堂,討論目前國內 Web 應用程式的前端安全問題。

感歎:在見識了琳琅滿目的攻擊方式的同時,也引發了對於未來國內 Web 應用程式安全的思考。

後記

Web 2.0 以降,前端這個職位已從傳統“美工”,蛻變成使用者體驗的實現者。然而隨著瀏覽器提供的功能日益強大、各種 Web 應用程式的日趨複雜,安全這塊被傳統籠罩的“灰色地帶”,也正進入每個前端開發工程師的視線。相信在不久的將來,前端開發工程師作為新生的安全力量,必佔有十 分重要的一席。



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。