前端安全:别让你的网站成为黑客的游乐场

优质文章学习记录

3 min read

前端安全:别让你的网站成为黑客的游乐场

毒舌时刻

前端安全?这不是后端的事吗?

"我只是个前端,安全关我什么事?"——结果网站被XSS攻击,用户信息泄露,
"我用了框架,应该很安全吧?"——结果框架有漏洞,被人轻松突破,
"我的网站小,没人会攻击的"——结果被黑客当作练手的靶子。

醒醒吧,前端安全不是可有可无的,而是必须重视的!

为什么你需要这个?

  • 保护用户数据:防止用户信息被窃取
  • 维护网站声誉:避免安全事件影响品牌形象
  • 遵守法律法规:如GDPR、CCPA等数据保护法规
  • 防止业务损失:避免因安全问题导致的经济损失

反面教材

// 反面教材:直接拼接HTML字符串 function renderUserInput() { const userInput = document.getElementById('user-input').value; // 危险!直接将用户输入插入到DOM中 document.getElementById('output').innerHTML = userInput; } // 反面教材:不安全的API调用 function login() { const username = document.getElementById('username').value; const password = document.getElementById('password').value; // 危险!在前端存储敏感信息 localStorage.setItem('username', username); localStorage.setItem('password', password); // 危险!明文传输密码 fetch('https://api.example.com/login', { method: 'POST', body: JSON.stringify({ username, password }) }); } // 反面教材:使用不安全的第三方库 // package.json { "dependencies": { "some-old-library": "1.0.0" // 存在已知安全漏洞 } }

正确的做法

// 正确的做法:使用安全的DOM操作 function renderUserInput() { const userInput = document.getElementById('user-input').value; // 安全!使用textContent或createElement document.getElementById('output').textContent = userInput; // 或者使用DOMPurify净化HTML // const sanitizedInput = DOMPurify.sanitize(userInput); // document.getElementById('output').innerHTML = sanitizedInput; } // 正确的做法:安全的API调用 function login() { const username = document.getElementById('username').value; const password = document.getElementById('password').value; // 安全!使用HTTPS传输 fetch('https://api.example.com/login', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ username, password }) }) .then(res => res.json()) .then(data => { // 安全!使用token而不是存储密码 localStorage.setItem('token', data.token); }); } // 正确的做法:定期更新依赖 // package.json { "dependencies": { "some-library": "^2.0.0" // 使用最新版本,避免已知漏洞 }, "scripts": { "security": "npm audit" // 定期检查安全漏洞 } } // 正确的做法:实现内容安全策略(CSP) // 在HTML头部添加 /* <meta http-equiv="Content-Security-Policy" content=" default-src 'self'; script-src 'self' https://trusted-cdn.com; style-src 'self' https://trusted-cdn.com; img-src 'self' https://trusted-cdn.com data:; connect-src 'self' https://api.example.com; frame-src 'none'; "> */ // 正确的做法:防止CSRF攻击 function submitForm() { // 获取CSRF token const csrfToken = document.querySelector('meta[name="csrf-token"]').content; fetch('https://api.example.com/submit', { method: 'POST', headers: { 'Content-Type': 'application/json', 'X-CSRF-Token': csrfToken // 添加CSRF token }, body: JSON.stringify({ data: 'some data' }) }); }

毒舌点评

看看,这才叫前端安全!不是简单地说"我用了HTTPS"就完事了,而是从输入验证、API调用、依赖管理等多个方面入手。

记住,前端安全是一个系统性的工程,不是靠一两个措施就能解决的。你需要时刻保持警惕,关注最新的安全漏洞和防护措施。

所以,别再觉得前端安全不重要了,它可能是你网站的最后一道防线!

总结

  • 输入验证:使用textContent或DOMPurify净化用户输入
  • HTTPS传输:确保所有API调用使用HTTPS
  • 敏感信息保护:不在前端存储密码等敏感信息
  • 依赖管理:定期更新依赖,避免已知安全漏洞
  • 内容安全策略(CSP):限制资源加载来源,防止XSS攻击
  • CSRF防护:使用CSRF token防止跨站请求伪造
  • 安全头部:设置适当的安全相关HTTP头部
  • 定期安全审计:使用工具检查代码中的安全漏洞

前端安全不是选择题,而是必答题!

Read more

【论文笔记】A Survey on Data Synthesis and Augmentation for Large Language Models

【论文笔记】A Survey on Data Synthesis and Augmentation for Large Language Models

A Survey on Data Synthesis and Augmentation for Large Language Models(大型语言模型的数据合成与增强综述) 1. 作者 2. 年份 2024 零、摘要 大型语言模型(LLM)的成功与否,本质上与用于训练和评估的海量、多样化和高质量数据的可用性息息相关。然而,高质量数据的增长速度明显落后于训练数据集的扩展速度,从而导致迫在眉睫的数据耗尽危机。这突显了提高数据效率和探索新数据来源的迫切需求。在此背景下,合成数据已成为一种有前景的解决方案。目前,数据生成主要包括两种主要方法:数据增强和合成。本文全面回顾并总结了LLM生命周期中的数据生成技术,包括数据准备、预训练、微调、指令调整、偏好对齐和应用。此外,我们还讨论了这些方法目前面临的限制,并探讨了未来发展和研究的潜在途径。我们的愿望是使研究人员清楚地了解这些方法,使他们能够在构建LLM时迅速确定适当的数据生成策略,同时为未来的探索提供有价值的见解。 一、介绍 * 近年来,LLM在许多行业取得了巨大的进步。但是大模型的性能高度依赖它们接受训练的数据的质量和

快速上手JeecgBoot:10分钟掌握AI低代码开发

快速上手JeecgBoot:10分钟掌握AI低代码开发 【免费下载链接】jeecg-bootjeecgboot/jeecg-boot 是一个基于 Spring Boot 的 Java 框架,用于快速开发企业级应用。适合在 Java 应用开发中使用,提高开发效率和代码质量。特点是提供了丰富的组件库、模块化架构和自动化配置方式。 项目地址: https://gitcode.com/GitHub_Trending/je/jeecg-boot JeecgBoot是一款基于Java的AI低代码开发平台,它巧妙融合了SpringBoot、SpringCloud、Ant Design Vue3等主流技术栈,为企业级应用开发提供智能化的解决方案。通过集成AI对话助手、代码生成器和可视化配置工具,JeecgBoot让简单功能实现零代码开发,复杂功能实现低代码开发,大幅提升开发效率。 🚀 环境准备与项目获取 Java低代码开发环境配置 开始使用JeecgBoot前,请确保您的开发环境已准备就绪: * JDK环境:推荐JDK 17,兼容JDK 8和JDK 21 * 构建工具:安装Mave
OpenREALM:无人机实时映射框架的技术深度解析

OpenREALM:无人机实时映射框架的技术深度解析

在无人机应用日益广泛的当下,精准、高效的实时映射技术成为推动行业发展的关键。传统无人机映射方案往往存在数据处理滞后、对复杂地形适应性差等问题,难以满足精准农业、应急救援等场景的实时决策需求。OpenREALM 作为一款开源的无人机实时映射框架,创新性地融合了视觉 SLAM、单目稠密重建等前沿技术,实现了从 2D 图像拼接至 3D 表面重建的多模式映射功能。 原文链接:https://arxiv.org/pdf/2009.10492 代码链接:https://github.com/laxnpander/OpenREALM 沐小含持续分享前沿算法论文,欢迎关注... 一、引言:无人机映射技术的现状与挑战 1.1 应用背景与核心需求 人类对世界的勘测需求推动了映射技术的持续发展,而无人机的兴起为空中勘测提供了全新的解决方案。空中影像已广泛应用于精准农业、城市规划、灾害风险管理等关键领域,这些应用场景不仅对数据分辨率有较高要求,更在可用性、成本和映射效率方面提出了严苛标准。传统的有人机勘测存在操作复杂、成本高昂等局限,而无人机凭借轻量化设计、自主飞行能力强等优势,

【GitHub项目推荐--AI-Goofish-Monitor:闲鱼智能监控机器人完全指南】

简介 AI-Goofish-Monitor 是一个基于 Playwright 和 AI 技术的闲鱼(Goofish)多任务实时监控与智能分析工具。该项目由 dingyufei615 开发,通过先进的浏览器自动化技术和多模态大语言模型,为用户提供智能化的闲鱼商品监控解决方案。该工具不仅具备强大的数据采集能力,还配备了功能完善的 Web 管理界面,让用户能够轻松管理和配置监控任务。 🔗 GitHub地址 : https://github.com/dingyufei615/ai-goofish-monitor ⚡ 核心价值 : AI智能分析 · 多任务监控 · 实时通知 · Web管理界面 技术特色 : * AI驱动 :集成多模态大语言模型(GPT-4o、Gemini等),深度分析商品信息 * Web管理 :完整的可视化界面,无需命令行操作 * 多平台通知 :支持 ntfy.sh、企业微信、Bark 等多种通知方式 * 智能过滤 :基于自然语言的任务创建和AI分析标准生成 * 云原生支持 :提供