前端安全:别让你的网站成为黑客的游乐场

优质文章学习记录

3 min read

前端安全:别让你的网站成为黑客的游乐场

毒舌时刻

前端安全?这不是后端的事吗?

"我只是个前端,安全关我什么事?"——结果网站被XSS攻击,用户信息泄露,
"我用了框架,应该很安全吧?"——结果框架有漏洞,被人轻松突破,
"我的网站小,没人会攻击的"——结果被黑客当作练手的靶子。

醒醒吧,前端安全不是可有可无的,而是必须重视的!

为什么你需要这个?

  • 保护用户数据:防止用户信息被窃取
  • 维护网站声誉:避免安全事件影响品牌形象
  • 遵守法律法规:如GDPR、CCPA等数据保护法规
  • 防止业务损失:避免因安全问题导致的经济损失

反面教材

// 反面教材:直接拼接HTML字符串 function renderUserInput() { const userInput = document.getElementById('user-input').value; // 危险!直接将用户输入插入到DOM中 document.getElementById('output').innerHTML = userInput; } // 反面教材:不安全的API调用 function login() { const username = document.getElementById('username').value; const password = document.getElementById('password').value; // 危险!在前端存储敏感信息 localStorage.setItem('username', username); localStorage.setItem('password', password); // 危险!明文传输密码 fetch('https://api.example.com/login', { method: 'POST', body: JSON.stringify({ username, password }) }); } // 反面教材:使用不安全的第三方库 // package.json { "dependencies": { "some-old-library": "1.0.0" // 存在已知安全漏洞 } }

正确的做法

// 正确的做法:使用安全的DOM操作 function renderUserInput() { const userInput = document.getElementById('user-input').value; // 安全!使用textContent或createElement document.getElementById('output').textContent = userInput; // 或者使用DOMPurify净化HTML // const sanitizedInput = DOMPurify.sanitize(userInput); // document.getElementById('output').innerHTML = sanitizedInput; } // 正确的做法:安全的API调用 function login() { const username = document.getElementById('username').value; const password = document.getElementById('password').value; // 安全!使用HTTPS传输 fetch('https://api.example.com/login', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ username, password }) }) .then(res => res.json()) .then(data => { // 安全!使用token而不是存储密码 localStorage.setItem('token', data.token); }); } // 正确的做法:定期更新依赖 // package.json { "dependencies": { "some-library": "^2.0.0" // 使用最新版本,避免已知漏洞 }, "scripts": { "security": "npm audit" // 定期检查安全漏洞 } } // 正确的做法:实现内容安全策略(CSP) // 在HTML头部添加 /* <meta http-equiv="Content-Security-Policy" content=" default-src 'self'; script-src 'self' https://trusted-cdn.com; style-src 'self' https://trusted-cdn.com; img-src 'self' https://trusted-cdn.com data:; connect-src 'self' https://api.example.com; frame-src 'none'; "> */ // 正确的做法:防止CSRF攻击 function submitForm() { // 获取CSRF token const csrfToken = document.querySelector('meta[name="csrf-token"]').content; fetch('https://api.example.com/submit', { method: 'POST', headers: { 'Content-Type': 'application/json', 'X-CSRF-Token': csrfToken // 添加CSRF token }, body: JSON.stringify({ data: 'some data' }) }); }

毒舌点评

看看,这才叫前端安全!不是简单地说"我用了HTTPS"就完事了,而是从输入验证、API调用、依赖管理等多个方面入手。

记住,前端安全是一个系统性的工程,不是靠一两个措施就能解决的。你需要时刻保持警惕,关注最新的安全漏洞和防护措施。

所以,别再觉得前端安全不重要了,它可能是你网站的最后一道防线!

总结

  • 输入验证:使用textContent或DOMPurify净化用户输入
  • HTTPS传输:确保所有API调用使用HTTPS
  • 敏感信息保护:不在前端存储密码等敏感信息
  • 依赖管理:定期更新依赖,避免已知安全漏洞
  • 内容安全策略(CSP):限制资源加载来源,防止XSS攻击
  • CSRF防护:使用CSRF token防止跨站请求伪造
  • 安全头部:设置适当的安全相关HTTP头部
  • 定期安全审计:使用工具检查代码中的安全漏洞

前端安全不是选择题,而是必答题!

Read more

FPGA小白学习日志二:利用LED实现2选1多路选择器

在上一篇文章中,主播利用炒菜的比喻帮大家介绍了LED工程的建立,所以在读这一篇文章前,大家可以简要回顾以下LED工程的建立流程。本篇内容,主播主要向大家介绍数据选择器工程的实现方法。   在开始之前,我们先来了解一下数据选择器是什么:所谓数据选择器,就是从多个输入的逻辑信号中选择一个逻辑信号输出,实现数据选择功能的逻辑电路就是数据选择器。我们用来打个比方,现在我们手中有两张电影票A和B,但这时我们是不知道到底哪张电影票是允许我们进入电影院的,这时候我们就要去问检票员,检票员说A,那就可以进;否则,B就可以进。通过这个比喻,我们就能理解数据选择器的大体思路了:这里的电影票A与B就相当于输入信号in1与in2,检票员就相当于数据选择信号sel(英文select),电影院就相当于输出信号out,注意这里的输出信号out只有一个。因此,我们就可以在Visio中设计出2-1数据选择器:                               同样,我们给出2-1数据选择器的真值表:                我们来分析以下这个真值表:当选择信号sel为0时,对应输入信号in
一文讲清楚RAG 四大模式:Naive RAG、Advanced RAG、Modular RAG 与 Agentic RAG

一文讲清楚RAG 四大模式:Naive RAG、Advanced RAG、Modular RAG 与 Agentic RAG

随着技术迭代,RAG 已从最初的简单架构发展出多种进阶形态。本文将系统解析 RAG 的四大主流模式 ——Naive RAG、Advanced RAG、Modular RAG 与 Agentic RAG,从工作原理、技术特点到适用场景进行全方位对比,为技术选型提供参考。 一、RAG 基础:检索增强生成的核心逻辑 在深入模式解析前,需先明确 RAG 的核心逻辑。简单来说,RAG 由检索(Retrieval) 与生成(Generation) 两大模块构成: 检索模块:从预设知识库中精准定位与用户问题相关的信息片段(如文档、段落、句子); 生成模块:基于检索到的信息,结合大语言模型生成符合上下文、逻辑连贯的答案。 这种 “先检索再生成” 的模式,既保留了 LLM 的语言理解与生成能力,又通过外部知识的引入弥补了模型训练数据过时、事实准确性不足的缺陷。

从零开始:Xilinx FPGA实现RISC-V五级流水线CPU手把手教程

从一块FPGA开始,亲手造一颗CPU:RISC-V五级流水线实战全记录 你还记得第一次点亮LED时的兴奋吗?那种“我真正控制了硬件”的感觉,让人上瘾。但如果你能 自己设计一颗处理器 ,让它跑起第一条指令——那才是数字世界的终极浪漫。 今天,我们就来做这件“疯狂”的事:在一块Xilinx FPGA上,用Verilog从零实现一个 完整的RISC-V五级流水线CPU 。不是调用IP核,不是简化版demo,而是包含取指、译码、执行、访存、写回五大阶段,并解决真实数据冒险与控制冒险的可运行核心。 这不仅是一次教学实验,更是一场对计算机本质的深度探索。 为什么是 RISC-V + FPGA? 别误会,我们不是为了赶潮流才选RISC-V。恰恰相反,它是目前最适合学习CPU设计的指令集。 * 开放免费 :没有授权费,文档齐全,连寄存器编码都写得明明白白。 * 简洁清晰 :RV32I只有40多条指令,没有x86那样层层嵌套的历史包袱。 * 模块化扩展 :基础整数指令够用,后续想加浮点、压缩指令、向量扩展,都可以一步步来。

Cesium 无人机智能航线规划:航点动作组与AI识别实战

1. 从“点”到“任务”:理解智能航线规划的核心 如果你用过一些基础的无人机航线规划工具,可能觉得“不就是在地图上点几个点,连成线让飞机飞过去”吗?确实,早期的航点飞行就是这么简单。但当你真正投入到巡检、测绘、安防这类复杂任务时,你会发现,单纯的“点对点”飞行远远不够。 想象一下电力巡检的场景:无人机飞到第3号铁塔时,需要悬停、调整云台角度对准绝缘子串拍照;飞到第5号铁塔时,需要切换变焦镜头拍摄细节;在跨越河流的航线段,需要启动AI识别算法,自动监测河道漂浮物。这就不再是一条简单的“线”,而是一个由航点、动作、智能决策共同构成的三维空间任务流。 这就是Cesium在无人机应用开发中的独特价值。它不仅仅是一个三维地球可视化库,更是一个强大的空间任务编排平台。基于Cesium,我们可以将地理空间坐标(航点)与丰富的动作指令(Action) 以及AI识别逻辑绑定在一起,生成一个无人机能读懂、可执行的复杂任务剧本。 我刚开始做这类项目时,也走过弯路,以为把航线画漂亮就行了。结果真机测试时,要么动作没执行,