皮蛋很白的博客

控制台注入代码这是天猫官网的控制台的警告信息，因为有的黑客会诱骗用户在控制台里面粘贴东西。比如在朋友圈贴个文章，说：“只要访问天猫，按下 F12 并粘贴以下内容，则可以获得 XX 元礼品”。那么真的有非开发者的用户会去操作，并可能暴露自己的隐私。天猫这种做法也是在警告用户不要这么做，不过这种攻击毕竟是少数，我们只需了解一下，如果真的发现有用户会被这样攻击，可以参考天猫的这种解决方案。本地存储数据泄露很多开发者为了方便，把一些个人信息不经加密直接存到本地（localStorage、session

第三方依赖安全问题现如今进行应用开发，无论是后端服务器应用还是前端应用开发，绝大多数时候我们都是在借助开发框架和各种类库进行快速开发。据统计，一个应用有将近80%的代码其实是来自于第三方组件、依赖的类库等，而应用自身的代码其实只占了20%左右。然而，一旦这些来自第三方的代码有安全漏洞（例如曾经的 lodash 原型污染），那么对应用整体的安全性依然会造成严峻的挑战。对于前端开发来说，项目中可能会引入大部分 NPM 仓库的包，而我们知道，在 NPM 发布作品，NPM 不会做任何质量检查，只要包名没有重

HTTP 传输安全HTTP 的缺点明文传输，内容可能会被窃听不验证通信方的身份，因此可能遭遇伪装无法证明报文的完整性，所以有可能被篡改这些问题不仅在 HTTP 上出现，其它未加密的协议中也会存在这类问题。通信使用明文可能会被窃听窃听用户密码窃听传输敏感信息非法获取个人资料插入广告重定向网站无法防御的 XSS 和 CSRF 攻击运营商 DNS 劫持局域网劫持不验证通信方的身份就可能遭遇伪装无法证明报文完整性，可能已遭篡改解决办法使用 HTTPS 加密协议。H

点击劫持这种方式现在已经比较少见，仅作为了解。点击劫持（ClickJacking）是一种视觉上的欺骗手段。常见方式有两种：攻击者在自己的网页上使用一个透明的 iframe，覆盖在一个操作按钮或链接上，然后诱导用户点击，此时用户将在不知情的情况下点击透明的 iframe 页面攻击者在可以发布 HTML 内容的网站，发布一个图片链接，然后通过 CSS 让图片遮挡网页原有位置的内容透明 iframe示例clickjacking.html攻击者的网页：<!DOCTYPE html&g

CSRF 防护策略CSRF 通常从第三方网站发起，被攻击的网站无法防止攻击发生，只能通过增强自己网站针对 CSRF 的防护能力来提升安全。之前讲的 CSRF 的两个特点：CSRF（通常）发生在第三方域名CSRF攻击者不能获取 Cookie 信息，只是冒用针对这两点，我们可以专门制定防护策略：阻止不明外域的访问同源检测SameSite Cookie提交时要求附加本域才能获取的信息CSRF Token双重 Cookie 验证同源检测既然 CSRF 大多来自第三方网站

Cross-site request forgery 跨站请求伪造，也被称为 “One Click Attach” 或者 Session Riding，缩写为 CSRF 或者 XSRF，是一种冒充受信任的用户，向服务器发送非预期请求的攻击方式。CSRF 原理攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证（Cookie），绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。Cookie 往往用来存储用户的身份信息，恶意网站

Cross-Site Scripting （跨站脚本攻击）简称 XSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID等，进而危害数据安全。Cross-Site Scripting 的英文首字母本应为 CSS，但因为 CSS 在网页涉及领域已经被广泛指层叠样式表（Cascading Style Sheets），所以将 Cross（意为“交叉”）改以交叉形的 “X” 作为缩写。但早期的文件

Web 安全引用：美团技术团队 - 前端安全系列随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、 CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断进化和发展，不断引入 CSP、Same-Site Cookies 等新技术来增强安全性，但是仍存在很多潜在的威胁，这需要前端技术人员不断进行**“查漏补缺”**。Web 安全涉及的

相关内容什么是异常JS 处理异常的方式异常上报方式异常监控上报常见问题GitHub 前端代码异常监控方案什么是异常JS 脚本错误一般分为语法错误 和 运行时错误// 语法错误// 语法错误在开发阶段就会暴露，所以一般不需要对其处理var error = 'error'； // 大写分号// Uncaught SyntaxError: Invalid or unexpected toke// 运行时错误error // 未定义变量// Uncaught ReferenceE

重点:跨域并不是请求发不出去，请求能发出去，服务端能收到请求并正常返回结果，只是结果被浏览器拦截了。跨域方法：1.JSONP：只能GET，js创建script2.CORS：IE10以上支持3.window.postMessage：HTML5方法，应用于主页面和iframe之间的数据传递//页面向子页面传递：//主页面<iframe id="ifm" src="http://l...

XSS 跨站脚本攻击个人理解：攻击者通过合法方式(如表单输入、URL自定义参数访问等)向web页面插入代码，实现获取cookie、篡改布局、页面重定向等攻击。XSS分类：1.反射型（非持久化）：将恶意代码作为URL参数去访问。2.存储型（持久化）：通过发布文章或留言等表单输入提交方式将代码存储到服务器的数据库中（后台未作过滤的情况下）。每当用户访问使用这段代码的页面就会被攻击。3.DOM...

背景知识：SOP-同源安全策略（限制一些跨源访问）SOP未限制的方法：使用HTML tag嵌入资源，img script link等，或者使用form提交请求到外部站点HTTP的一些了解：1.有些http请求会携带cookie，但受SOP限制，cookie不能跨站访问。2.HTTP跨站请求时，只是浏览器限制了请求的响应，但请求会成功。CSFR：跨站请求伪造依靠SOP未限制的方法和HT...