本话题发布Web安全防护相关的博客文章和技术分享,将持续更新,为您推荐了11篇博客,访问即可查看更多精彩内容。
-
又被安全测试虐了一顿,这次是XSS漏洞 最近项目上线前做安全测试,又被抓了个典型问题——XSS漏洞。说来惭愧,这种老生常谈的问题居然还能翻车。事情是这样的:我们有个评论功能,用户提交的内容直接渲染到页...
-
我的写法,亲测靠谱 说实话,X-Frame-Options这个东西我在实际项目中用得不算频繁,但每次用都是为了堵安全漏洞。最常见的就是防止点击劫持(Clickjacking),这玩意儿真的不能掉以轻心...
-
我的写法,亲测靠谱 说实话,SameSite这个东西刚出来的时候我也挺懵的,各种属性值看得眼花缭乱。现在做了这么多年,算是摸清楚了其中的门道。我现在的做法很简单粗暴:大部分情况下都用 Strict,只...
-
优化前:卡得不行 最近接手了一个老项目,用户反馈页面加载特别慢。打开Chrome DevTools一看,首屏加载时间竟然要5-6秒,其中有个接口响应时间就占了3秒多。仔细查看Network面板发现,每...
-
又踩坑了,CSP 的 default-src 让我静态资源全挂了 上周上线一个新项目,本地跑得好好的,一部署到测试环境,页面直接白屏。F12 一看,控制台全是红的:Refused to load th...
-
又踩坑了,touchmove被劫持导致滚动失效 最近在做移动端的一个滑动组件,本来以为就是监听个 touchmove 事件,结果上线后一堆用户反馈“页面卡住不能滑动”。折腾了半天才发现,是我在某个子元...
-
先看效果,再看代码 上周上线一个内部管理系统,第二天就收到安全组邮件:「检测到 Session 固定漏洞,风险等级中」。我盯着邮件看了三秒,心里一沉——又来了。 不是没防过。但这次是旧项目接入新登录模...
-
项目初期的技术选型 最近在做一个需要用户登录和注册功能的小项目,考虑到安全性,决定在密码存储上使用盐值。毕竟现在大家都很重视数据安全,如果密码泄露了,那可就麻烦大了。其实一开始也没想到用盐值,只是觉得...
-
先看效果,再看代码 最近在做一个项目,客户特别强调网站的安全性。这让我想起了之前踩过的坑,安全头(Security Headers)的重要性真是不可忽视。今天就来聊聊我在实际项目中怎么用的,希望能帮到...
-
先看效果,再看代码 说到 default-src,这玩意儿在内容安全策略 (CSP) 里是个挺重要的东西。它决定了你的页面默认能加载哪些资源,比如脚本、图片、样式表等。我今天就来聊聊这个东西怎么用,以...
-
优化前:卡得不行 最近在搞一个项目,涉及到大量的数据加密和解密操作。一开始用的是对称加密算法AES,结果发现性能真的是太差了。页面加载时间直接飙升到5秒,用户反馈说体验极差,简直卡得不行。 找到瘼颈了...
