XSS攻击

跨站脚本攻击，代码注入攻击，为了获取用户敏感信息如Cookie、SessionId。
两大要素：攻击者提交恶意代码，浏览器执行恶意代码

场景

存储型：sql注入，恶意代码提交到数据库，页面渲染的时候在页面执行。使用Sequelize可以预防，不用刻意去解决。只要不裸写sql语句，常见的数据库工具，都可以解决sql注入的问
反射型：恶意代码在URL
DOM型：纯前端的攻击

防御手段
过滤代码提交，禁止恶意代码执行。
1、模板引擎一般都对XSS攻击做了防护。通过vue和react可以防止，h5也可以通过vue ssr防止。
vue中输出原生html要用v-html
React要用danerouslySetInnerHtml
如果想要单独处理，用

2、CSP 1.0内容安全策略，禁止加载不该加载的脚本。
CSP2.0 扫描所有的JavaScript脚本，并加上nonce字段，这个字段由服务端生成。浏览器只会允许带有nonce的脚本执行，其他脚本都不会执行。

跨站请求伪造，主要是冒充用户cookie，躲开服务端的验证。
攻击者诱导受害人进入第三方网站，在第三方网站中向攻击网站发送跨站请求，利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击者网站执行某些操作的目的。
【有三种类型】

【定义】
浏览器的安全策略，限制一个源的文档或者它加载的脚本如何与另一个源进行交互，为了阻止恶意文档，减少被攻击。
【限制的对象】

【解决手段】

CORS：跨域资源共享
- Access-Control-Allow-Origin
- Access-Control-Request-Method
- Aceess-Control-Request-Headers
Node中间件代理
Nginx反向代理
JSONP
- 利用script标签和img标签获取资源没有跨域限制的漏洞，网页可以得到其他源动态得到的JSON数据，兼容性好。
- 实现：声明一个回调函数callback，window[callback] = function (data){…}

创建script,把script的src赋值为请求，callback作为请求的参数传递给后端。
服务端接收到请求后，返回callback(res)。
客户端会执行window[callback]这个函数。

window.postMessage
- 允许来自不同源（协议、域名、端口）进行通信，实现跨文本当，多窗口，跨域通信。
window.name+iframe
- window.name当window的location变化重新加载，值不变。利用它来传输数据。
- 在页面A用iframe加载其他域的页面B，页面B赋值window.name。

然后A完成加载后，修改iframe的地址未同域的地址，这样就可以拿到window.name的值。

避免带来安全隐患、和权限操作问题。

尽可能避免使用子进程childProcess，如果必须这样做，必须验证和清理以减轻shell注入攻击。
childProcess.execFile可以执行单个命令，可以对命令做白名单处理。

20%的npm包不安全，危害

解决：

$ npx wizard ```