前端安全
关注
分享
扫一扫
文章平均质量分 78
不只是xss、csrf,还有web漏洞、前端攻击、数据泄露、权限绕过、安全风控,各种前端安全问题
loulanyijian
10年+互联网前端开发老江湖
gis出身,写过Java
对性能、规范、交互、node、架构、可视化、小程序,以及各种前端新老技术,都略懂一点
希望与大家一起交流,共同进步
展开
-
前端安全 - 地图使用的安全问题
地图使用,会涉及到法律问题,需要重视原创 2022-07-21 21:31:11 · 1092 阅读 · 0 评论 -
前端安全 - 小程序接口token加密
我们的小程序属于toB电商类,与金钱密切相关,因此对接口的安全性校验比较看重处于产品性能+开发体验的考虑,我们没有将整体的接口数据都加密,而是每个接口的调用都会加上token,该token采用前后端加密匹配的方式来进行校验具体思路很简单,前后端获取到当前的时间戳time,加上当前用户的sk(小程序登录的),再加上一段前后端约定的文本密钥,进行加密,生成token在全局接口请求的地方统一处理,将所有的请求url上,都挂上sk、time、token这三个参数,而约定的文本密钥不通过网络传输后端拿到这三个参数之后原创 2022-06-30 20:14:10 · 3650 阅读 · 0 评论 -
前端安全 - 信任的iframe也有隐患
差不多是3、4年前的事情,不算是经典的前端安全问题,不过实际的界面效果就跟被攻击了一样,算是非常规的前端安全问题前同事,前端大佬F君,在群里跟我们分享一个问题,就是他们的门户网站,嵌入了合作方的广告iframe后,界面打开就直接滚动到这广告的位置了类似于上图,界面打开后,在无任何手动操作的情况下,直接滚动到了广告的位置肯定是这个广告iframe搞的鬼,F君分析他们的iframe源码,想具体找到他们是使用的什么代码去操作的这个,但苦于他们的源码内容比较多且压缩过,一时找不到是哪块代码的影响首先确定这个ifra原创 2022-06-29 13:47:42 · 918 阅读 · 0 评论 -
前端安全 - 记一次某社区网站的xss
在之前的前端规范 - 前端广义安全规范中聊到xss,就简单带过了昨天逛某社区网站的时候,突然弹了一个弹窗嗯???被xss了?当时手贱,直接刷新了网页,换了一批内容推荐,就没有这个弹窗了代码很简单,平路框输入 ,然后提交果然,也有alert弹窗,这块的xss的确没有做防御今天打开社区,之前发的那个xss的消息,下面评论说xss不生效了,已经被防御了再打开了一下,果然已经fix了,效率还是很高的搜了一下那个xss的原贴,跟我的代码差不多,莫非大家都只会这种xss方法?前端安全,还是很重要的,打算专门原创 2022-06-25 23:44:24 · 428 阅读 · 0 评论 -
前端规范 - 前端广义安全规范
不仅仅局限为前端老生常谈的xss、csrf等典型性前端安全问题更多的,是前端面临的整体的一些合规、风控、信息泄露等一系列问题原创 2021-12-01 11:25:41 · 1335 阅读 · 0 评论