安全防护
关注
分享
扫一扫
文章平均质量分 91
xyphf_和派孔明
全栈工程师,熟悉原生JavaScript、TypeScript、ES6、Webpack、VUE全家桶、JAVA SSM框架、Spring boot 、Spring cloud、MySql、Oracle、Linux等,可独立构建多页面、单页面应用项目。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
Web前端文件上传安全与敏感数据安全处理
Web前端文件上传安全与敏感数据安全处理原创 2025-08-03 18:04:08 · 1426 阅读 · 0 评论 -
web前端React和Vue框架与库安全实践
为什么依赖过时的库会增加安全风险?如何通过npm audit或OpenSCA检测漏洞?2025 年推荐的 SCA(软件成分分析)工具新增了哪些功能?例如代码溯源和许可证合规分析。原创 2025-08-03 17:36:24 · 1241 阅读 · 0 评论 -
关于Web前端安全防御之安全头配置
X-Content-Type-Options: nosniff 阻止 MIME 嗅探,避免类型混淆攻击;HSTS 强制 HTTPS,防御降级和中间人攻击。2025 年 HSTS 推荐配置为 max-age=63072000; includeSubDomains; preload(按需),通过延长缓存期和子域名覆盖增强安全性。preload 机制通过浏览器内置列表解决首次访问漏洞,适合高安全性需求的网站,但需确保全域名 HTTPS 兼容性。原创 2025-08-03 17:12:11 · 780 阅读 · 0 评论 -
关于Web前端安全之XSS攻击防御增强方法
仅依赖前端验证是无法完全防止 XSS的,还需要增强后端验证,使用DOMPurify净化 HTML 时,还需要平衡安全性与业务需求。原创 2025-08-03 16:57:03 · 1039 阅读 · 0 评论 -
关于Web前端安全防御之内容安全策略(CSP)
CSP(Content Security Policy,内容安全策略)是一种由浏览器强制执行的安全层,核心作用是限制网页可以加载和执行的资源来源(如脚本、样式、图片等),以及控制页面的行为(如是否、表单提交等)。通过明确指定可信的资源来源和允许的操作,CSP 能有效防御 XSS、点击劫持、数据注入等多种攻击,从根源上阻断恶意代码的加载和执行。原创 2025-08-03 16:32:41 · 1178 阅读 · 0 评论 -
关于Web前端安全防御之点击劫持的原理及防御措施
点击劫持(Clickjacking)是一种视觉欺骗攻击,攻击者通过将目标网站页面嵌套在自己的恶意页面的 <iframe> 中,并设置透明样式覆盖在精心设计的诱导性内容(如按钮、链接)上方,诱导用户点击。用户看似点击的是恶意页面的元素,实际点击的是被嵌入的目标网站的敏感按钮(如 “确认支付”“删除账号” 等),从而在用户不知情的情况下执行非预期操作。原创 2025-08-02 22:59:04 · 1096 阅读 · 0 评论 -
关于Web前端安全防御CSRF攻防的几点考虑
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种攻击方式,攻击者诱导用户在已登录目标网站的情况下,向该网站发送恶意请求,利用用户的身份凭证(如 Cookie)执行非预期操作(如转账、修改密码等)。原创 2025-08-02 22:38:32 · 1024 阅读 · 0 评论 -
关于Web前端安全防御XSS攻防的几点考虑
防御 XSS 的核心原则是:对所有不可信数据进行严格过滤和转义(如将<转义为<),避免使用危险的 DOM 操作方法,同时启用 CSP(内容安全策略)限制脚本执行。原创 2025-08-02 22:16:09 · 1036 阅读 · 0 评论