前端安全:别让你的应用变成黑客的游乐场

优质文章学习记录

2 min read

前端安全:别让你的应用变成黑客的游乐场

毒舌时刻

这代码写得跟网红滤镜似的——仅供参考。

各位前端同行,咱们今天聊聊前端安全。别告诉我你还在写明文存储密码,那感觉就像把家门钥匙挂在门口——方便,但不安全。

为什么你需要前端安全

最近看到一个项目,登录表单直接把密码发送到服务器,没有任何加密。我就想问:你是在做应用还是在给黑客送大礼?

反面教材

// 反面教材:不安全的登录 // components/LoginForm.jsx export default function LoginForm() { const [username, setUsername] = useState(''); const [password, setPassword] = useState(''); const handleSubmit = async (e) => { e.preventDefault(); // 直接发送明文密码 const response = await fetch('/api/login', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ username, password }) // 明文密码 }); if (response.ok) { // 登录成功 } }; return ( <form onSubmit={handleSubmit}> <input type="text" value={username} onChange={(e) => setUsername(e.target.value)} placeholder="用户名" /> <input type="password" value={password} onChange={(e) => setPassword(e.target.value)} placeholder="密码" /> <button type="submit">登录</button> </form> ); } // 密码在网络传输中是明文 // 本地存储也是明文

毒舌点评:这代码,密码明文传输,你是在写应用还是在做黑客培训?

前端安全的正确姿势

1. 密码加密

// 正确姿势:密码加密 // utils/auth.js import bcrypt from 'bcryptjs'; export async function hashPassword(password) { const salt = await bcrypt.genSalt(10); return await bcrypt.hash(password, salt); } export async function comparePassword(password, hashedPassword) { return await bcrypt.compare(password, hashedPassword); } // 服务端登录处理 // api/login.js export default async function handler(req, res) { const { username, password } = req.body; const user = await User.findOne({ username }); if (!user) { return res.status(401).json({ error: '用户不存在' }); } const isMatch = await comparePassword(password, user.password); if (!isMatch) { return res.status(401).json({ error: '密码错误' }); } // 生成 JWT token const token = generateToken(user.id); res.json({ token }); }

2. XSS 防护

// 正确姿势:防止 XSS // components/Comment.jsx import DOMPurify from 'dompurify'; export default function Comment({ content }) { // 净化 HTML 内容 const sanitizedContent = DOMPurify.sanitize(content); return ( <div dangerouslySetInnerHTML={{ __html: sanitizedContent }} /> ); } // 服务器端设置 CSP 头 // next.config.js module.exports = { async headers() { return [ { source: '/(.*)', headers: [ { key: 'Content-Security-Policy', value: "default-src 'self'; script-src 'self' 'unsafe-inline' https://trusted-cdn.com" } ] } ]; } };

3. CSRF 防护

// 正确姿势:防止 CSRF // pages/api/protected.js import csrf from 'csurf'; const csrfProtection = csrf({ cookie: true }); export default function handler(req, res) { csrfProtection(req, res, () => { // 受保护的 API 逻辑 }); } // 客户端 // components/Form.jsx export default function Form() { const [csrfToken, setCsrfToken] = useState(''); useEffect(() => { // 获取 CSRF token fetch('/api/csrf-token') .then(res => res.json()) .then(data => setCsrfToken(data.token)); }, []); const handleSubmit = async (e) => { e.preventDefault(); await fetch('/api/protected', { method: 'POST', headers: { 'Content-Type': 'application/json', 'X-CSRF-Token': csrfToken }, body: JSON.stringify({ data: 'test' }) }); }; return ( <form onSubmit={handleSubmit}> <input type="hidden" name="_csrf" value={csrfToken} /> {/* 表单内容 */} </form> ); }

毒舌点评:这才叫现代前端,安全第一,让黑客无处下手。

Read more

Flutter for OpenHarmony: Flutter 三方库 flutter_cors 应对鸿蒙 Web 与混合开发中的跨域挑战(网络兼容方案)

Flutter for OpenHarmony: Flutter 三方库 flutter_cors 应对鸿蒙 Web 与混合开发中的跨域挑战(网络兼容方案)

欢迎加入开源鸿蒙跨平台社区:https://openharmonycrossplatform.ZEEKLOG.net 前言 在进行 OpenHarmony 的跨平台开发时,我们不仅开发原生 HAP,有时也会涉及 Flutter Web 或是在鸿蒙端侧运行 Webview 混合应用。这时,一个经典的“拦路虎”就会出现:CORS (跨源资源共享) 限制。当你的 Web 端尝试访问一个未配置跨域头部的后端 API 时,请求会被浏览器拦截,报错信息极其晦涩。 虽然 CORS 主要是后端的工作,但 flutter_cors 提供了一种客户端视角的辅助工具。它通过工具化手段帮助开发者分析、绕过或生成跨域适配规则,是保证鸿蒙跨平台 Web 项目顺利运行的调试利器。 一、跨域访问逻辑模型 CORS 是一种浏览器的安全保护机制,它在请求发出前先进行“预检(Preflight)
五种常用的web加密算法

五种常用的web加密算法

文章目录 * 五种常用Web加密算法实战及原理详解 * 1. AES (高级加密标准) * 原理详解 * 应用场景 * 实战代码(Node.js) * 2. RSA (非对称加密) * 原理详解 * 应用场景 * 实战代码(Node.js) * 3. SHA-256 (安全哈希算法) * 原理详解 * 应用场景 * 实战代码(浏览器环境) * 4. HMAC (基于哈希的消息认证码) * 原理详解 * 应用场景 * 实战代码(Node.js) * 5. PBKDF2 (基于密码的密钥派生函数) * 原理详解 * 应用场景 * 实战代码(Node.js) * 加密算法对比表 * 安全最佳实践 * 进阶主题 五种常用Web加密算法实战及原理详解 在现代Web开发中,数据安全至关重要。以下是五种最常用的Web加密算法,包括它们的原理、应用场景和实战代码示例。

开源视觉模型部署教程:GLM-4.6V-Flash-WEB一键启动实践

开源视觉模型部署教程:GLM-4.6V-Flash-WEB一键启动实践 想快速体验一个能看懂图片、还能跟你聊天的AI助手吗?智谱最新开源的GLM-4.6V-Flash-WEB模型,就是一个功能强大且部署简单的选择。它不仅能通过网页界面直接对话,还提供了API接口,方便开发者集成到自己的应用里。 今天,我就带你从零开始,手把手完成这个视觉大模型的部署和启动。整个过程非常简单,只需要三步,哪怕你是刚接触AI的新手,也能在10分钟内搞定。我们主要的目标就是:快速部署,立即体验。 1. 环境准备与镜像部署 万事开头难,但这次开头很简单。部署GLM-4.6V-Flash-WEB,你只需要一个能运行Docker的环境。这里我们以常见的云服务器或本地支持Docker的Linux环境为例。 1.1 获取部署镜像 首先,你需要找到模型的部署镜像。根据提供的资料,我们可以从相关的镜像仓库获取。这里假设你已经有一个可用的环境,并且安装了Docker。 打开你的终端,执行以下命令来拉取镜像。这个镜像已经包含了运行模型所需的所有依赖,省去了你手动安装Python、PyTorch等一堆库的麻烦。

SenseVoice-Small语音识别模型Gradio前端定制化开发:UI修改与API扩展教程

SenseVoice-Small语音识别模型Gradio前端定制化开发:UI修改与API扩展教程 1. 环境准备与快速部署 在开始定制化开发之前,我们需要先准备好基础环境。SenseVoice-Small语音识别模型基于ONNX格式并带有量化处理,这使得模型在保持高精度的同时具有更快的推理速度。 首先确保你的系统满足以下要求: * Python 3.8或更高版本 * 至少4GB可用内存 * 支持ONNX Runtime的硬件环境 安装必要的依赖包: pip install modelscope gradio onnxruntime numpy librosa soundfile 如果你需要录音功能,还需要安装额外的音频处理库: pip install pydub webrtcvad 完成环境配置后,我们可以开始模型的加载和测试。ModelScope提供了便捷的模型管理方式,让我们能够快速获取和部署预训练模型。 2. 基础模型加载与测试 2.1 使用ModelScope加载模型 ModelScope简化了模型的加载过程,下面是基本的模型加载代码: