前端安全防护

我的写法，亲测靠谱 最近在项目里处理敏感信息过滤，折腾了好几轮，终于整理出一套还算顺手的方案。说真的，这个需求乍一看挺简单，但实际操作起来坑真不少。 先上核心代码吧： function filterS...

项目初期的技术选型 最近在开发一个用户登录系统时，验证码成了绕不开的一环。说实话，开始我挺纠结的，到底是用传统的图形验证码，还是现在流行的滑块验证，或者直接上短信验证码？后来考虑到安全性和用户体验的平...

优化前：卡得不行 最近做的一个项目里，涉及到前端加密的场景。用户登录、表单提交这些操作都得用到加密算法，主要是AES和RSA。一开始没太在意性能问题，直接套了个开源库就上线了。结果上线后发现问题大了—...

我的写法，亲测靠谱 CSP（Content Security Policy）里的frame-ancestors指令，说白了就是用来控制页面能不能被嵌套到iframe里。我在多个项目里都用过这玩意儿，踩...

防护策略的核心写法，亲测靠谱 先说重点，我在实际项目中最常用的防护策略代码是这样的： const debounce = (func, delay) => { let timer; return ...

优化前：卡得不行 最近在做一个项目，里面有个功能需要通过 JSONP 调用第三方接口来获取数据。本来以为挺简单的，结果上线后发现性能差到离谱。尤其是在低网速环境下，页面加载时间直接飙到了 5 秒以上，...

我的写法，亲测靠谱 前端处理敏感信息这事儿，说白了就是别把不该暴露的东西扔到浏览器里。我之前做过一个后台管理系统，登录后用户的权限列表、个人信息全在前端存着，当时图省事直接挂在 window.user...

我为什么又在搞 CSP 这玩意？ 上个月项目上线前安全扫描，扫出一堆 CSP 风险，甲方爸爸直接甩了一页报告过来，说不加 Content Security Policy 就不算交付。没办法，前端背锅侠...

这次搞隐私设计差点翻车 上个月接了个新项目，客户要求特别注重用户隐私保护。本来以为就是常规的GDPR合规那一套，结果做得时候才发现完全不是那么回事。各种数据收集、存储、传输的安全要求，还有用户的同意管...

我的写法，亲测靠谱 说实话，unsafe-eval这个东西我在实际项目中用得并不多，但每次遇到相关问题都得重新折腾一遍。之前做数据可视化平台的时候，有个动态组件加载的需求，用户可以上传自定义的Java...

这次安全加固差点翻车，记录一下踩坑过程 上周接到一个紧急任务，要给公司的一个老项目做安全加固，客户那边做了渗透测试发现了几个安全隐患。说实话，这种临危受命的活儿压力挺大的，特别是老项目，代码历史遗留问...

又踩坑了，Security面板里一堆红标 前几天上线一个新功能，测试环境跑得好好的，结果一上生产，Chrome DevTools 的 Security 面板直接给我刷了一堆红色警告。点开一看，全是 M...

优化前：卡得不行 上周上线一个新功能后，用户反馈页面加载慢得离谱，尤其在低端安卓机上，白屏时间能到5秒以上。我一开始以为是打包体积太大，或者接口慢，结果 Lighthouse 一跑，发现「避免巨大的网...

为什么我要折腾 block-all-mixed-content 这个东西？ 事情是这样的，上个月我们上线了一个新项目，HTTPS 全站强制开启，结果 QA 一测，发现部分老页面里的图片、脚本居然还是 ...

核心代码就这几行，但别小看它 上周我们上线了一个新功能：用户可以删除自己的项目。结果第二天就有用户反馈说“手滑点错了，项目没了”。我一看日志，确实——点击删除按钮后没任何确认，直接发请求删了。这哪行？...

我的写法，亲测靠谱 在做前端安全的时候，CSP（Content Security Policy）报告是一个非常重要的工具。它能帮助你发现和修复潜在的安全漏洞。我一般会在项目中配置CSP报告，然后收集这...

请求加密，这次是真的踩坑了 最近在做一个项目，需要对前端发送的请求进行加密处理。本来以为是个简单的事情，结果搞了一整天，最后发现还是得自己动手丰衣足食。 问题来了，数据怎么加密 一开始，我想的是用HT...