安全

深耕开发安全领域，解析 XSS/CSRF 等常见漏洞、攻防实战与合规实践，守护应用与数据安全防线。

Code°义霞

日志记录在前端项目中的实战应用与性能优化策略

我的写法，亲测靠谱日志记录这事，我干了快八年，前三年是 console.log(1)、console.log(2)、console.log('这里好像卡了')，后五年开始被运维拉着骂：你打的日志根本...

安全阅读 795
夏侯佳杰

彻底搞懂浏览器Preflight请求的触发条件与解决方案

先看效果，再看代码上周上线一个新功能，前端调用后端接口，本地跑得好好的，一上测试环境就 404 —— 不是接口不存在，而是 OPTIONS 请求直接被 Nginx 拦了，连后端的门都没摸到。抓包一看...

安全阅读 2,160
a'ゞ蒙蒙

API Key 安全管理与前端调用的最佳实践方案

API Key 被扫出来了，我连夜改了三遍配置今天早上运维同学甩过来一条 Slack 消息：“你那个前端项目里，jztheme.com 的 API Key 在 Chrome DevTools 里明文...

安全阅读 2,536
博主楚恒

report-uri实战指南从配置到CSP策略落地全流程

先看效果，再看代码上周上线一个新项目，上线第二天就发现 CSP 报告里一堆 script-src 违规记录——但页面明明没报错，用户也完全没感知。我打开 report-uri 后台一看，全是 eva...

安全阅读 1,745
Mr-统宇

Cookie隔离实战指南：解决跨域请求中的身份认证难题

项目初期的技术选型去年下半年接了个 SSO 改造项目，客户原有系统是三个子站：admin.jztheme.com、shop.jztheme.com、api.jztheme.com，全靠一套后端 Se...

安全阅读 1,924
Tr° 雅茹

匿名化处理在前端数据安全中的实践与关键技术解析

优化前：卡得不行上周上线了一个用户行为埋点聚合页，后端吐了 12W 条脱敏日志（手机号、身份证号、邮箱全做了匿名化处理），前端用表格渲染+搜索+分页。结果一打开页面，Chrome 直接卡死 5 秒，...

安全阅读 1,222
诸葛树灿

对称加密原理与实战应用中的常见问题和优化思路

对称加密搞了个大乌龙：前端 AES 加密后后端死活解不开今天上线前联调，前端用 CryptoJS 加密了一段用户 token 传给后端，结果 Java 后端一直报 javax.crypto.BadP...

安全阅读 1,454
Good“洛熙

密钥交换技术原理与实战中的常见陷阱解析

优化前：卡得不行去年底上线一个面向企业客户的加密文件共享模块，前端要跟后端做 ECDH 密钥交换，再用协商出的 AES 密钥加密上传。本来以为就是调个 WebCrypto API，结果首屏加载后点“...

安全阅读 2,017
轩辕可歆

DOM-based XSS攻击原理与前端防御实战

优化前：卡得不行上周上线一个营销页，用户反馈“点开白屏3秒”“滑动卡顿”“有时候直接闪退”。我一开始以为是图片太大或者接口慢，查了半天发现根本不是——页面里压根没发几个请求，首屏渲染完之后，滚动、点...

安全阅读 2,451
西门丽苹

Session固定漏洞的原理分析与实战防御方案

先看效果，再看代码上周上线一个内部管理系统，第二天就收到安全组邮件：「检测到 Session 固定漏洞，风险等级中」。我盯着邮件看了三秒，心里一沉——又来了。不是没防过。但这次是旧项目接入新登录模...

安全阅读 1,082
设计师培聪

数据最小化实践指南：前端数据采集与存储的精简策略

谁更灵活？谁更省事？数据最小化不是个新概念，但真落到前端代码里，它就不是“少传点字段”那么简单了。我去年在做一个医保报销类 H5 页面时，后端甩来一个 38 字段的 userProfile 接口响应...

安全阅读 2,181
Code°瑞君

触摸劫持攻击原理与前端防御实战方案

谁更灵活？谁更省事？触摸劫持（Touch Hijacking）这玩意儿，说白了就是用户明明想滑动页面，结果手指一划，触发了你写的某个按钮、轮播图、抽屉菜单甚至整个页面都卡死了——不是 bug，是 f...

安全阅读 1,825
打工人可慧

Web Crypto API实战指南：加密解密签名验签全链路解析

项目初期的技术选型去年下半年接手一个内部审计系统，核心需求是：用户上传的敏感文档（PDF、Excel）必须在浏览器端完成加密后再发到后端。不是简单加个密码保护，而是要实现「用户A上传的文件，只有用户...

安全阅读 1,718
一莹 Dev

Persistent Cookie 实现原理与前端持久化登录实践

谁更灵活？谁更省事？Persistent Cookie 的三种实战方案对比我最近在重构一个老项目的身份认证模块，后端坚持用 Session + Persistent Cookie 做登录态维持，前端...

安全阅读 2,531
小珂簪

Third-party Cookie 被禁用后前端身份认证与跟踪方案实战

谁更灵活？谁更省事？Third-party Cookie替代方案实战对比我去年在做一个广告投放效果归因系统时，被Third-party Cookie的消失干懵了。Chrome 125一开，默认禁用第...

安全阅读 2,619
欧阳静依

Terser压缩配置实战与常见坑点避坑指南

又踩坑了，Terser 把我的 console.log 全干掉了，但线上报错却找不到源今天上线前做最后的 build 检查，发现一个诡异问题：本地开发一切正常，console.log 都在；但生产环...

安全阅读 2,749
玲玲

Likejacking攻击原理与前端防御实战方案

我的写法，亲测靠谱 Likejacking 这玩意儿，说白了就是利用 Facebook 的 Like 按钮（或其他社交按钮）的 iframe 埋点机制，在用户无感知下触发点赞、分享等操作。它早年是黑产...

安全阅读 1,999
Des.艳鑫

Origin检查机制在前端安全防护中的实战应用与常见陷阱

谁更灵活？谁更省事？Origin检查这三招我试了个遍 Origin检查这事，我踩过两次坑才彻底清醒：第一次是后端同事说“你前端加个 Origin 校验就行”，结果我傻乎乎在 fetch 里手动比对 w...

安全阅读 2,124
Mc.玉娟

Refresh Token 实战指南：解决前端 token 过期自动续签难题

Refresh Token自动续期，结果登录态莫名其妙丢了今天上线前测登录流程，发现用户明明没点退出、也没关页面，过15分钟再操作一下接口，直接401跳回登录页——但控制台里明明刚刷新过token，...

安全阅读 2,543
夏侯东辰

实战中如何用自动化工具完成高效漏洞扫描与修复

谁更灵活？谁更省事？最近在给一个老项目补安全基建，第一件事就是加漏洞扫描。不是那种黑盒打靶式的渗透测试，而是前端构建阶段就卡住常见 XSS、硬编码密钥、敏感路径泄露这类低级但高频的问题。我试了三套方...

安全阅读 827