前端需要注意的安全问题，不要以为安全与前端无关

安全是后端的事儿，和前端无关。这是大多数人的一个观念。但你可知道前端的安全工作也是需要格外重视的，不然会出乱子的。

1.XSS攻击，即跨站脚本攻击(Cross Site Scripting)，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS攻击作为Web业务的最大威胁之一，不仅危害Web业务本身，对访问的用户也会带来直接的影响，如何防范和阻止XSS攻击，保障Web站点的业务安全，是一项十分重要的工作。

2.CSRF攻击，即跨站请求伪造。与XSS相比XSS利用了系统对用户的信任，而CSRF则利用了系统对浏览器的信任，通过伪装来自受信任用户的请求来利用受信任的网站从而达到他自己的目的。这种攻击比XSS更具危险性，因此要格外注意！

3.HTTP劫持，这个严格来说不能算是前端的工作，导致这种情况的主要是网络运营商。比如我们经常会看到有时访问app中一个页面会突然弹出一个广告导致页面不正常，这个就是HTTP劫持。运营商通过在我们访问的页面中插入弹窗，广告等代码从而获得收益，一般可通过使用HTTPS来解决。

4.界面操作劫持，它是一种基于视觉欺骗的劫持攻击，通过在页面上覆盖一个opacity被设置为0的iframe，让用户误点击来达到自己的目的。

5.合理设置HTTP响应头，cookie来提高安全性。

6.get，post等请求方式的合理化使用。

XSS的示意图

CSRF的示意图

内有大量视频，学习资料，欢迎加入

web安全还是要靠前后端一起通力合作才能做得更好。