【前端安全】JavaScript防http劫持与XSS作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)CSRF>跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。最近用 JavaScript 写了一个组件,可以在前端层面防御部分 HTTP 劫持与 XSS。当然,防御这些劫持最好的方法还是从后端入手,前端能做的实在太少。而且由于源码的...
前言:在前端开发中经常会需要用到检测变量数据类型的需求,比如:判断一个变量是否为undefined或者null来进行下一步的操作,今天在阅读“编写高质量代码-改善JavaScript程序的188个建议”这本书的时候看到这个比较好的方法,在此小记一笔以备在以后的开发中使用。1:如下所示是我编写的演示代码<!DOCTYPE html><html><head><meta charset="utf-8"/><title>Index Page</title><script type="text/javascript">/*安全检测JavaScript...
在JavaScript中,内置的类型检测机制并非是完全可靠的。这里分别指的typeof和instanceof关键字。 由于typeof有一些无法预知的行为,经常会导致检测数据类型时得到不靠谱的结果,Safari在对正则表达式应用typeof时会返回“function”,在chrome下回返回“object”。 instanceof存在多个全局作用域的情况下(指的是一个页面中包含iframe),也是问题多多。比如下面的代码: ...
现在很多商业网站的用户登录都是明码传输的,而一般用户又习惯于所有帐号使用相同的密码来保存,甚至很多人使用的密码和自己的银行帐号都一样哦!所 以嘛还是有一定的安全隐患的,YAHOO的免费邮箱登录使用了MD5的加密方法来确证服务提供方自己也无法知道用户的密码,有效维护了用户的隐私。其原理 如下:用户在注册的时候通过JAVASCRIPT对密码进行一次MD5变换,然后发给服务器保存在数据库,因为MD5是无法逆向变换的所以可以保证服...
本文对比与《【Java】读取网页中的内容》(点击打开链接)一文,向一个页面发送get请求,并获取其处理之后的结果,这里是向一个页面发送post请求,并获取其处理之后的结果。如果向一个页面发送get请求,并获取其处理之后的结果,只需要直接读取一个网页用?后接各种用&参数连接的参数即可,而向一个页面发送post请求,并获取其处理之后的结果,就不是这么简单了。这里方法可能在普通的Java文件中不会太常见,但在jsp、安卓等javaweb...
个人总结:阅读完这篇文章需要20分钟,这篇文章主要讲解了现代浏览器在网络层传输所用到的一些技术。 这是 JavaScript 工作原理的第十二章。正如在之前关于渲染引擎的文章中所讲的那样,我们相信好的和伟大的 JavaScript 开发者之间的差别在于后者不仅仅只是理解了语言的具体细节还了解其内部构造和运行环境。 网络简史49 年前,ARPAnet 诞生了。它是早期的报文分组交换网络及第一个实现 TCP/IP 协议套件的网络。该网络连通了加利福...
命名空间 JavaScript本身中没有提供命名空间机制,所以为了避免不同函数、对象以及变量名对全局空间的污染,通常的做法是为你的应用程序或者库创建一个唯一的全局对象,然后将所有方法与属性添加到这个对象上。 代码如下:/* BEFORE: 5 globals */ // constructors function Parent() {} function Child() {} // a variable var some_var = 1; // some objects var module1 = {}; module1.data = {a: 1, b: 2}; var module2 = ...
命名空间 JavaScript本身中没有提供命名空间机制,所以为了避免不同函数、对象以及变量名对全局空间的污染,通常的做法是为你的应用程序或者库创建一个唯一的全局对象,然后将所有方法与属性添加到这个对象上。 代码如下: /* BEFORE: 5 globals */ // constructors function Parent() {} function Child() {} // a variable var some_var = 1; // some objects var module1 = {}; module1.data = {a: 1, b: 2}; var module2 =...
之前我以为PHP cURL模拟请求也会有跨域限制的。 疑问 在之前设计接口的时候,需要权限访问的敏感数据(例如需要登录后查看的个人数据)。我是会做token检测的。 但是其他的普通接口可以直接获取的,只是添加了跨域头,防止跨域调用,但是后面发现,通过PHP cURL是能调用成功的。后面看了eechen的回答。如下: 同源策略防止跨域是浏览器中的安全机制.而PHP的cURL可以看做一个命令行下的浏览器(客户端),不受任何限制,就像你用file_ge...
已解决,更换了jquery导入为 七牛云静态资源加速。然后就不出现这个问题了。说明js文件内部有问题。也给自己提了个醒,不要乱使用外部js。谢谢回答的同学!偶尔刷新页面后,正常来说应该是都来自一个地址的。为什么会有三个从外面地址请求过来的东西?(上面画黑线的都是同一个地址,画黄色线的就是来自其他的地址) 正常的应该是这样的:我是前端,我不是很懂这是为什么?(自己猜测是不是路由器或者服务器被劫持?) 1.并没有使用...
在web中,使用Ajax调用API,怎么做安全验证,防止别的网站调用呢? 如果是APP调用要怎么解决接口安全问题呢?还有API怎么样才能不暴露在公网上呢?只要的的APP能调用,不都算暴露在公网上吗?回复内容:在web中,使用Ajax调用API,怎么做安全验证,防止别的网站调用呢? 如果是APP调用要怎么解决接口安全问题呢?还有API怎么样才能不暴露在公网上呢?只要的的APP能调用,不都算暴露在公网上吗?ajax 跨域解决不了问题,跨域可以通过...
前一段时间百度贴吧出过一个BUG,使用JS可以发超出边框的超大的图片。 这个是不是就是因为把有效性检查放到浏览器上用JS做了? 回复讨论(解决方案) 在客户端做的一切检查都不能保证安全性,需要在服务端再验证一遍。 有效性 ≠ 安全性
新浪微博站内应用:点击进入 可以看到站内应用是用 iframe 加载的。iframe 会不会对用户造成安全隐患呢?是如何保证信息的安全呢?这个问题已被关闭,原因: 回复内容:新浪微博站内应用:点击进入 可以看到站内应用是用 iframe 加载的。iframe 会不会对用户造成安全隐患呢?是如何保证信息的安全呢?
同一个域内,有两个系统,从一个系统向另一个系统发送ajax请求更改第二个系统的数据库的一个字段(假如现在只发送user_id向第二个系统),怎么保证ajax的安全性,我主要怕的是大家都知道发送user_id后的这个ajax就不安全了,有那些方法可以做到尽量安全?这个问题也可以延伸到接口间的安全性。回复内容:同一个域内,有两个系统,从一个系统向另一个系统发送ajax请求更改第二个系统的数据库的一个字段(假如现在只发送user_id向第二个...
求推荐一款安全实用的富文本编辑器,要大家用的比较多的,谢了。回复内容:求推荐一款安全实用的富文本编辑器,要大家用的比较多的,谢了。https://github.com/fex-team/ueditorKindeditor 简单实用 文档丰富http://ueditor.baidu.com 同楼上的楼上,推荐ueditor,配置方便、扩展方便~~ckeditorhttps://github.com/mycolorway/simditor 这是国内开源的一个富文本编辑器,https://tower.im/做的,感觉很棒,用户体验很好http://wang...