前端安全:别让你的网站成为黑客的游乐场

优质文章学习记录

3 min read

前端安全:别让你的网站成为黑客的游乐场

毒舌时刻

前端安全?这不是后端的事吗?

"我只是个前端,安全关我什么事?"——结果网站被XSS攻击,用户信息泄露,
"我用了框架,应该很安全吧?"——结果框架有漏洞,被人轻松突破,
"我的网站小,没人会攻击的"——结果被黑客当作练手的靶子。

醒醒吧,前端安全不是可有可无的,而是必须重视的!

为什么你需要这个?

  • 保护用户数据:防止用户信息被窃取
  • 维护网站声誉:避免安全事件影响品牌形象
  • 遵守法律法规:如GDPR、CCPA等数据保护法规
  • 防止业务损失:避免因安全问题导致的经济损失

反面教材

// 反面教材:直接拼接HTML字符串 function renderUserInput() { const userInput = document.getElementById('user-input').value; // 危险!直接将用户输入插入到DOM中 document.getElementById('output').innerHTML = userInput; } // 反面教材:不安全的API调用 function login() { const username = document.getElementById('username').value; const password = document.getElementById('password').value; // 危险!在前端存储敏感信息 localStorage.setItem('username', username); localStorage.setItem('password', password); // 危险!明文传输密码 fetch('https://api.example.com/login', { method: 'POST', body: JSON.stringify({ username, password }) }); } // 反面教材:使用不安全的第三方库 // package.json { "dependencies": { "some-old-library": "1.0.0" // 存在已知安全漏洞 } }

正确的做法

// 正确的做法:使用安全的DOM操作 function renderUserInput() { const userInput = document.getElementById('user-input').value; // 安全!使用textContent或createElement document.getElementById('output').textContent = userInput; // 或者使用DOMPurify净化HTML // const sanitizedInput = DOMPurify.sanitize(userInput); // document.getElementById('output').innerHTML = sanitizedInput; } // 正确的做法:安全的API调用 function login() { const username = document.getElementById('username').value; const password = document.getElementById('password').value; // 安全!使用HTTPS传输 fetch('https://api.example.com/login', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ username, password }) }) .then(res => res.json()) .then(data => { // 安全!使用token而不是存储密码 localStorage.setItem('token', data.token); }); } // 正确的做法:定期更新依赖 // package.json { "dependencies": { "some-library": "^2.0.0" // 使用最新版本,避免已知漏洞 }, "scripts": { "security": "npm audit" // 定期检查安全漏洞 } } // 正确的做法:实现内容安全策略(CSP) // 在HTML头部添加 /* <meta http-equiv="Content-Security-Policy" content=" default-src 'self'; script-src 'self' https://trusted-cdn.com; style-src 'self' https://trusted-cdn.com; img-src 'self' https://trusted-cdn.com data:; connect-src 'self' https://api.example.com; frame-src 'none'; "> */ // 正确的做法:防止CSRF攻击 function submitForm() { // 获取CSRF token const csrfToken = document.querySelector('meta[name="csrf-token"]').content; fetch('https://api.example.com/submit', { method: 'POST', headers: { 'Content-Type': 'application/json', 'X-CSRF-Token': csrfToken // 添加CSRF token }, body: JSON.stringify({ data: 'some data' }) }); }

毒舌点评

看看,这才叫前端安全!不是简单地说"我用了HTTPS"就完事了,而是从输入验证、API调用、依赖管理等多个方面入手。

记住,前端安全是一个系统性的工程,不是靠一两个措施就能解决的。你需要时刻保持警惕,关注最新的安全漏洞和防护措施。

所以,别再觉得前端安全不重要了,它可能是你网站的最后一道防线!

总结

  • 输入验证:使用textContent或DOMPurify净化用户输入
  • HTTPS传输:确保所有API调用使用HTTPS
  • 敏感信息保护:不在前端存储密码等敏感信息
  • 依赖管理:定期更新依赖,避免已知安全漏洞
  • 内容安全策略(CSP):限制资源加载来源,防止XSS攻击
  • CSRF防护:使用CSRF token防止跨站请求伪造
  • 安全头部:设置适当的安全相关HTTP头部
  • 定期安全审计:使用工具检查代码中的安全漏洞

前端安全不是选择题,而是必答题!

Read more

多模态大模型微调框架之Llama-factory

多模态大模型微调框架之Llama-factory

LlamaFactory Online 是一个面向科研机构、企业研发团队或个人开发者快速构建和部署AI应用的一站式大模型训练与微调平台,致力于提供简单易用、高效灵活的全流程解决方案。平台以“低门槛、高效率、强扩展”为核心,通过集成化工具链、可视化操作界面与自动化工作流,显著降低大模型定制与优化的技术成本,助力用户快速实现模型从开发调试到生产部署的全周期闭环,功能示意如下所示。 官方文档: https://llamafactory.readthedocs.io/zh-cn/latest/ 安装 使用 uv 工具来安装 Llama-factory 下载工程 git clone --depth 1 https://github.com/hiyouga/LlamaFactory.git uv 安装 cd LlamaFactory uv sync 使用一条命令uv sync就完成 LlamaFactory 的安装,版本以及依赖版本等不会从错误
打造专属模型!使用LLaMA-Factory进行微调,非常详细收藏这一篇就够了

打造专属模型!使用LLaMA-Factory进行微调,非常详细收藏这一篇就够了

一、安装Pytorch 1. 检查GPU计算能力 在开始微调之前,首先需要确认GPU的计算能力,因为不同架构的GPU对PyTorch版本有不同要求。计算能力是NVIDIA GPU的一个重要指标,它决定了GPU支持的CUDA功能和性能特性。 nvidia-smi --query-gpu=compute_cap --format=csv 第一行命令直接查询GPU的计算能力版本,而Python代码则通过PyTorch库来检测CUDA的可用性、版本信息以及具体的GPU设备能力。这些信息对于后续选择合适版本的PyTorch至关重要。 2. 匹配PyTorch版本 根据GPU计算能力选择合适的PyTorch版本是非常重要的,因为不匹配的版本可能导致性能下降甚至无法正常运行。不同的GPU架构有着不同的计算能力要求,下面根据GPU计算能力选择合适的PyTorch版本: 计算能力 < 7.0 (如 Maxwell架构):使用较老版本 计算能力 7.x (Volta/Turing):PyTorch 1.8+ 计算能力 8.x (Ampere):PyTorch 1.10+ 计算能力 9

AIGC情感化升级实战:如何将智能客服投诉率从12%降至3.2%

背景痛点:为什么你的智能客服总被投诉? 智能客服已经成为企业服务标配,但高投诉率却让很多技术团队头疼。行业平均12%的投诉率背后,隐藏着几个关键的技术短板。 首先,传统规则引擎和简单意图识别无法捕捉用户情绪。当用户说“我的订单还没到”,系统可能只识别“查询订单”意图,却忽略了语气中的焦急和不满。这种情感盲区导致回复机械,无法安抚用户情绪。 其次,上下文断裂问题严重。用户在多轮对话中提及的信息,系统经常“忘记”,导致用户需要反复说明问题,体验极差。 最后,回复生成缺乏人性化。基于模板的回复千篇一律,无法根据用户情绪调整语气和措辞,让用户感觉在与机器对话。 这些痛点叠加,最终导致用户满意度下降,投诉率居高不下。要解决这些问题,我们需要为智能客服注入“情感智能”。 技术方案:构建情感化智能客服的三层架构 1. 情感识别模型选型:BERT vs LSTM的实战对比 情感识别是情感化升级的基础。我们对比了两种主流方案: LSTM方案: * 优点:训练速度快,资源消耗低,在小规模标注数据上表现良好 * 缺点:
照着用就行:千笔ai写作,人气爆表的一键生成论文工具

照着用就行:千笔ai写作,人气爆表的一键生成论文工具

你是否曾为论文选题发愁,面对空白文档无从下笔?是否在反复修改中感到力不从心,却始终达不到理想效果?论文写作不仅是知识的积累,更是时间与精力的较量。对于众多本科生来说,这是一段充满挑战的旅程。而如今,一款名为“千笔AI”的智能工具正悄然改变这一现状,它以高效、精准、便捷的特点,成为越来越多学生信赖的写作助手。如果你也正在经历这些困扰,不妨了解一下这款备受好评的AI写作神器。 千笔AI(官网直达入口) :https://www.qianbixiezuo.com 一、千笔AI的八大核心功能,助力高效学术写作 千笔AI针对学生论文写作的痛点,精心打造了八大核心功能,让论文写作变得前所未有的高效和规范。 1. 免费AI辅助选题:精准定位,快速确定研究方向 千笔AI的免费AI辅助选题功能,基于深度学习算法分析近5年顶刊论文和会议文献,构建学科知识图谱,帮助你快速确定一个既有价值又具创新性的选题方向。 2. 免费2000字大纲:结构清晰,逻辑严谨 千笔AI的免费2000字大纲功能,只需输入论文题目和字数要求,AI就能在60秒内生成包含二级和三级标题的详细大纲,覆盖引言、文献综述、研究