Web前端攻防 一不小心就中招了

随着各浏览器安全功能的提高，前端防御面临的问题也没有之前那么复杂，但浏览器的防御措施并不能百分百地保证网站的安全。浏览器的XSSAuditor，使得反射型XSS几乎被废；CSP（ContentSecurityPolicy）、X-XSSProtection可以禁止不可信源的脚本执行!无疑，这对XSS攻击是一记重拳。但是道高一尺，魔高一丈，尤其是在安全界，永远应该记住的一句箴言就是“只有相对的安全，没有绝对的安全”。在这里重点介绍一下现代浏览器的安全特性以及浏览器依然不能防御的攻击手段。