前端安全，网络安全

HTTP 协议内并不具备 会话(session)管理、加密处理等安全性方面的功能。在 Web 应用中，从浏览器那接收到的 HTTP 请求的全部内容，都可以在客户端自由的变更、篡改。所以 Web 应用可能会接收到与预期数据不相同的内容。

在 HTTP 请求报文内加载攻击代码，就能发起对 Web 应用的攻击。通过 URL 查询字段或表单、HTTP 首部、Cookie 等途径把攻击代码传入，若这时 Web 应用存在安全泄漏，那内部信息就会遭到窃取，或者被攻击者拿到管理权限。

对 Web 应用对攻击模式有两种 :

• 主动攻击

• 被动攻击

以服务器为目标的主动攻击

主动攻击是指攻击者通过直接访问 Web 应用，把攻击代码传入的攻击模式。由于该模式是直接针对服务器上对的资源进行攻击，因此攻击者需要能够访问到那些资源，主动攻击模式里，最具有代表性的是 : SQL注入攻击(目标数据) 和 OS命令注入攻击（目标系统）

以服务器为目标的被动攻击

被动攻击是指利用圈套策略执行攻击代码的攻击模式，通常都是诱导用户触发已设置好的陷阱，而陷阱会启动发送已嵌入攻击代码的 HTTP 请求。中招后的用户浏览器会把含有攻击代码的 HTTP 请求发送给作为攻击目标的 Web 应用，运行攻击代码。执行完攻击代码之后，可能会导致用户所持有的 Cookie 等个人信息被窃取，登陆状态中的用户权限遭到恶意滥用等后果。

被动攻击模式最具有代表性的是 : 跨站脚本攻击（XSS）和 跨站请求伪造（CSRF），攻击能力取决js覆盖的能力。

利用用户身份攻击企业内部网络

利用被动攻击，可发起对原本从互联网上无法直接访问的企业内部等网络的攻击。只要用户踏入攻击者预先设定好的陷阱，在用户能够访问到的网络范围内，即使是企业内网也同样会受到攻击。

前端范畴外的安全

• 请求劫持

  • DNS劫持

    顾名思义，DNS服务器(DNS解析各个步骤)被篡改，修改了域名解析的结果，使得访问到的不是预期的ip

  • HTTP劫持

    运营商劫持，此时大概只能升级HTTPS了

• DDOS 攻击（distributed denial of service）

  DDOS 不是一种攻击，而是一大类攻击的总称。它有几十种类型，新的攻击方法还在不断发明出来。网站运行的各个环节，都可以是攻击目标。只要把一个环节攻破，使得整个流程跑不起来，就达到了瘫痪服务的目的。

• 中间人攻击

  中间人攻击是攻击方同时与服务端和客户端建立起了连接，并让对方认为连接是安全的，但是实际上整个通信过程都被攻击者控制了。比如：公共区域连了不安全的WiFi，就可以被中间人攻击。然后只开启HTTPS其实就可以防御这种攻击。