安全

深耕开发安全领域，解析 XSS/CSRF 等常见漏洞、攻防实战与合规实践，守护应用与数据安全防线。

司马希玲

通配符风险解析与前端开发中的那些坑

先看效果，再看代码咱们今天聊聊通配符的那些事儿。说实在的，通配符这东西，用起来确实方便，但坑也挺多。我之前在一个项目里就因为通配符吃了不少亏，今天就把这些经验分享给大家。最常见的场景：CSS选择器...

安全阅读 1,857
司徒晓莉

黑盒测试实战总结：从入门到精通的那些坑和技巧

又踩坑了，这次是跨站脚本攻击最近在做一个用户评论系统，结果上线没几天就收到了一个报告，说有用户在评论里注入了恶意脚本。我赶紧查了一下，发现确实有这个问题。这下子有点慌了，因为之前一直以为这种安全问题...

安全阅读 2,144
若彤

字段权限实战总结：从零到一搞定细粒度数据控制

为啥要对比这几个方案字段权限这事儿，说起来简单，做起来坑不少。特别是在企业级应用里，动不动就涉及到不同角色的用户能看到不同的数据。今天我就来聊聊几个常见的字段权限方案，看看哪个更灵活，哪个更省事。 ...

安全阅读 898
欧阳文娟

深入剖析default-src在CSP中的应用与常见坑点解析

先看效果，再看代码说到 default-src，这玩意儿在内容安全策略 (CSP) 里是个挺重要的东西。它决定了你的页面默认能加载哪些资源，比如脚本、图片、样式表等。我今天就来聊聊这个东西怎么用，以...

安全阅读 2,730
FSD-德鑫

掌握Permissions-Policy提升网站安全与性能的实战经验分享

项目初期的技术选型最近有个项目，主要需求是提高网站的安全性，防止一些常见的安全问题。在前期的技术调研中，我注意到了一个叫做Permissions-Policy的新特性。这个东西听起来挺有潜力的，可以...

安全阅读 1,862
程序员世玉

行级权限实战总结：从踩坑到精通的技术分享

我的写法，亲测靠谱行级权限这玩意儿，说白了就是控制用户能看到哪些数据。我在实际项目里用得比较多，今天就来聊聊我是怎么处理的。首先，我一般会定义一个权限配置文件，比如叫 permissions.js...

安全阅读 1,047
UX-佳润

yarn audit实战指南：从零开始排查并修复依赖安全漏洞

先看效果，再看代码最近在做一个项目时，突然意识到安全性问题越来越重要。以前总是觉得依赖包的版本控制不是什么大问题，但这次真的被坑了。于是，我开始研究 yarn audit 这个命令，发现它真的很好用...

安全阅读 1,805
一慧慧

跨域Cookie实战总结：解决前端开发中的那些坑

为什么我要对比这几个方案在前端开发中，Cookie跨域一直是个让人头疼的问题。每次遇到这种需求，我总是得琢磨半天，到底用哪种方案比较好。今天我就来对比一下几种常见的方案，希望能帮到你。谁更灵活？谁...

安全阅读 1,288
Prog.逸龙

前端输入转义那些坑一次实战经验分享

优化前：卡得不行大家好，今天想和大家分享一下我在项目中遇到的一个性能问题，以及我是如何一步步优化的。这个项目是一个内部管理系统，用户在输入框里输入数据时，需要进行一些安全转义处理，防止XSS攻击。一...

安全阅读 746
旗施的笔记

数据库防火墙实战指南：从基础到进阶的技术剖析与应用实例

为什么要对比这几个方案在实际开发中，数据库的安全性是至关重要的。数据库防火墙是一个非常有效的工具，可以帮助我们防止SQL注入、未授权访问等安全问题。我最近在项目中用到了几种不同的数据库防火墙方案，有...

安全阅读 2,862
欧阳甜雅

对称加密实战总结：从原理到应用的全面解析与常见坑点分享

优化前：卡得不行最近在搞一个项目，涉及到大量的数据加密和解密操作。一开始用的是对称加密算法AES，结果发现性能真的是太差了。页面加载时间直接飙升到5秒，用户反馈说体验极差，简直卡得不行。找到瘼颈了...

安全阅读 2,829
程序猿静静

script-src详解与实战踩坑经验分享

我的写法，亲测靠谱在前端安全这块儿，script-src 是一个非常重要的配置项。它能帮助我们防止一些常见的 XSS 攻击。我一般这样处理： Content-Security-Policy: scr...

安全阅读 2,819
UP主～艳花

AES加密实战总结：从踩坑到精通的全过程

我的写法，亲测靠谱在前端开发中，AES加密是个常见的需求，尤其是在需要保护用户数据的时候。我一般用的是CryptoJS这个库，因为它简单易用，而且文档也挺全的。下面是我的常用写法： // 引入Cry...

安全阅读 1,570
司空小菊

TypeORM实战总结从踩坑到高效使用的关键技术分享

先看效果，再看代码最近在项目里用了TypeORM，感觉挺不错的。TypeORM是一个ORM（对象关系映射）库，支持多种数据库，比如MySQL、PostgreSQL等。它的好处是能把数据库操作变得简单...

安全阅读 1,810
轩辕秀花

Double Submit Cookie实战解析与前端CSRF防护经验分享

为什么我要对比这几个方案说到CSRF防护，Double Submit Cookie算是一个比较常见的方案。不过，实现方式有很多种，比如传统的Cookie+表单隐藏字段、使用Header的Token、...

安全阅读 2,797
瑞云的笔记

搞定Origin检查那些坑真实项目中的实践经验分享

我的写法，亲测靠谱在前端开发中，Origin检查是个非常重要的安全措施，尤其是当你需要处理跨域请求时。我一般这样处理：首先，在服务器端设置CORS（跨源资源共享）策略，确保只有指定的Origin可...

安全阅读 588
设计师朝阳

前端请求加密实战经验分享教你如何安全传输数据

请求加密，这次是真的踩坑了最近在做一个项目，需要对前端发送的请求进行加密处理。本来以为是个简单的事情，结果搞了一整天，最后发现还是得自己动手丰衣足食。问题来了，数据怎么加密一开始，我想的是用HT...

安全阅读 1,744
小佳鑫

IDS与IPS实战经验分享：从原理到配置全面解析

我的写法，亲测靠谱在做前端开发的时候，安全性是个绕不开的话题。IDS（入侵检测系统）和IPS（入侵防御系统）就是两个重要的安全工具。我一般会把它们用在一些关键的项目里，尤其是那些需要处理敏感数据的项...

安全阅读 2,829
Dev · 艳青

混合加密实战解析从原理到应用全面掌握核心技术

为什么我要对比这几个方案在前端开发中，加密传输数据是一个常见的需求。混合加密技术结合了对称加密和非对称加密的优点，既能保证数据的机密性，又能提高加解密的效率。最近我在项目中正好遇到了这个需求，于是决...

安全阅读 696
欧阳利君

Code Review实战经验分享提升代码质量和团队协作效率

项目初期的技术选型最近我们团队接了一个新的前端项目，主要是帮客户开发一个内部管理系统。考虑到项目的复杂性和安全性要求，我们在技术选型时决定引入Code Review机制。之前我们也有过类似的经验，但...

安全阅读 1,229