本话题发布前端安全实践相关的博客文章和技术分享,将持续更新,为您推荐了16篇博客,访问即可查看更多精彩内容。
-
开头直接说:为什么我要对比这几种Anti-CSRF方案 最近在开发一个新项目的时候,遇到了CSRF防护的需求。说实话,Anti-CSRF Token这种东西我之前用过不少次,但这次因为涉及到前后端分离...
-
为什么我要对比这几个方案? 最近在做一个项目,涉及到用户敏感信息的隐藏和保护。比如用户的身份证号、手机号这些数据,在界面上需要部分隐藏。这种需求其实很常见,但具体实现方式却有不少坑。我试了几种常见的技...
-
优化前:卡得不行 最近在搞一个电商项目,首页加载速度慢到让我怀疑人生。首屏渲染时间动不动就5秒以上,用户反馈说页面“卡得受不了”。尤其是登录态的处理,每次请求都要带着一堆Cookie跑来跑去,性能损耗...
-
项目初期的技术选型 前段时间接了个项目,是个用户管理系统。客户特别强调了安全性,尤其是密码这块,不能存明文,得加密。其实这需求挺常见的,但当时我也没想太多,觉得无非就是加个哈希函数完事了。 最开始我打...
-
innerHTML的坑,你踩过几个? 最近在重构一个老项目的时候,又遇到了innerHTML这个让人又爱又恨的东西。说真的,我挺喜欢用innerHTML的,直接拼接HTML字符串,简单粗暴效率高。但问...
-
直接说结论:我偏爱CSP头配置 最近在处理HTTPS站点的安全问题时,block-all-mixed-content这个话题让我折腾了好几天。简单说下我的结论:虽然meta标签和HTTP头部都能实现阻...
-
优化前:卡得不行 最近接手了一个老项目,打开页面的时候简直卡得受不了。加载一个简单的列表页居然要5秒多,用户反馈说操作起来像在用十年前的手机。我自己试了几次,发现页面偶尔还会闪退,尤其在登录状态切换时...
-
优化前:卡得不行 上周项目上线前例行做一次依赖安全扫描,顺手跑了下 yarn audit,结果我直接懵了。这命令跑起来跟死机一样,终端卡住五六秒没反应,然后一堆警告刷屏,最后等它结束——整整 42 秒...
-
密码加密方案,我为啥现在只用 Argon2 先说结论:我现在新项目一律上 Argon2,老项目能迁就迁。bcrypt 也还行,但已经不够看了。至于那些还在用 SHA-1 拼盐的,真的别闹了。 其实我也...
-
DOM-based XSS防护:这几种方案我踩坑无数次了 说到DOM-based XSS,我真的是又爱又恨。前阵子在做项目安全加固的时候,被这玩意儿折腾得够呛。各种防护方案试了个遍,今天把踩过的坑都记...
-
先看效果,再看代码 上周上线一个用户评论功能,结果 QA 一测就炸了:有人在评论里贴了段 <script>alert(1)</script>,页面直接弹窗。我赶紧翻了下代码,发...
-
又踩坑了,dangerouslySetInnerHTML 到底怎么用才安全? 上周改一个老项目,后端直接返回带 HTML 的富文本内容,我第一反应就是用 dangerouslySetInnerHTML...
-
优化前:卡得不行 上个月接手一个老项目,首页加载完之后点任何按钮都卡顿,尤其在低端安卓机上,简直没法用。用户反馈“点一下要等两秒才有反应”,我本地测也确实如此——首屏渲染完后,页面明明没动,但 CPU...
-
为啥要对比这几个方案 最近在项目中遇到了请求头验证的问题,折腾了好久终于搞定了。想着不如把几种常见的请求头验证方案对比一下,分享下我的实战经验。毕竟每个方案都有自己的优缺点,选择合适的方案对项目来说很...
-
先看效果,再看代码 说到 default-src,这玩意儿在内容安全策略 (CSP) 里是个挺重要的东西。它决定了你的页面默认能加载哪些资源,比如脚本、图片、样式表等。我今天就来聊聊这个东西怎么用,以...
-
我的写法,亲测靠谱 在前端安全这块儿,script-src 是一个非常重要的配置项。它能帮助我们防止一些常见的 XSS 攻击。我一般这样处理: Content-Security-Policy: scr...
