前端开发中如何落地SDL安全实践?
我们团队最近开始推行安全开发生命周期(SDL),但我作为前端,不太清楚具体该做些什么。比如在需求和设计阶段,前端需要参与哪些安全评审?
我试过在代码里加 CSP 头,但上线后发现很多第三方脚本报错,像这样:
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com;
结果 Google Analytics 和一些字体资源直接被拦了……有没有前端友好的 SDL 实施清单或者检查项可以参考?
- 1
回答
53浏览
前端项目中如何规范处理安全漏洞修复流程?
我们团队最近在做SDL(安全开发生命周期),但对前端这块的漏洞管理有点懵。比如发现一个XSS风险,改完代码后,怎么确保它被正确记录、验证和关闭? 试过在Jira里建个ticket,但不知道要不要关联c...
- 2
回答
18浏览
安全需求阶段前端要做什么?
我们团队刚开始引入安全开发生命周期(SDL),现在卡在“安全需求”这一步。作为前端,我不太清楚自己该提哪些具体的安全需求,比如是不是所有用户输入都要过滤?还是说只要后端处理就行? 我试过在表单提交前用...
- 1
回答
78浏览
在SDL中如何防止表单提交时的XSS攻击?
我在用Vue做用户反馈表单时,按照SDL要求加了输入过滤,但测试时发现恶意脚本还是能执行... 表单代码是这样的: 提交 我在提交前用正则替换了<script>标签: userInput....
- 1
回答
3浏览
前端安全测试该从哪入手?
我们团队最近开始搞安全开发生命周期,轮到我负责前端的安全测试。但我有点懵,不知道该测哪些点——XSS、CSRF 这些听说过,但具体怎么测?用什么工具? 比如我试过在输入框里输 alert(1),但页面...
- 1
回答
21浏览
前端项目中如何用SAST工具检测XSS漏洞?
最近在做安全开发生命周期的实践,想在CI里集成SAST工具自动扫描XSS问题。但试了几个工具(比如SonarQube、ESLint插件)都没能准确识别出我这段模板里的危险用法,是我写法太隐蔽还是配置不...
- 1
回答
24浏览
前端项目里怎么集成SAST工具做代码扫描?
我们团队最近要落地安全开发生命周期,领导让在前端项目里加上SAST(静态应用安全测试)工具。但我试了几个,比如 ESLint 的 security 插件,还有 SonarQube,配置起来特别迷糊。 ...
- 1
回答
6浏览
前端如何在不泄露用户隐私的前提下安全地处理表单数据?
我正在做一个用户注册页面,需要收集手机号和邮箱,但又担心这些敏感信息在前端被意外记录或泄露。比如控制台日志、错误上报这些地方会不会不小心把数据带出去? 我试过在提交前清空本地状态,但不确定是否足够。下...
- 1
回答
4浏览
前端项目如何集成SAST工具做自动化安全扫描?
我们团队最近在推DevSecOps,要求前端CI流程里加入静态代码扫描。但我试了几个SAST工具,要么不支持JS,要么配置太复杂,连npm run scan都跑不通。 有没有人用过靠谱的前端SAST方...
- 1
回答
7浏览
前端安全审计时如何防止CSS注入风险?
最近在做项目的安全审计,发现有个用户自定义主题的功能,允许传入CSS字符串动态应用样式。我担心这里会有CSS注入漏洞,比如用户输入恶意代码破坏页面或窃取数据。虽然我用了DOMPurify处理HTML,...
- 1
回答
12浏览
前端安全审计时如何防止XSS攻击?
最近在做项目的安全审计,发现用户输入的内容直接渲染到页面上,担心有XSS风险。比如下面这段代码,把用户昵称直接插进HTML里,会不会被注入脚本? <div class="user-info"&g...
修复方式:script-src和font-src要把用到的第三方域名都列进去。
前端SDL检查清单记住这几点就行:第三方依赖用npm audit和Snyk扫漏洞、CSP能配尽配、用户输入要escape/ sanitize处理、敏感数据别存localStorage、用httpOnly的cookie存token。需求和设计阶段让安全团队参与评估XSS和CSRF风险就行,其他他们会带着你过。