别天真了,第三方 CSS 并不安全
2018/03/07 · CSS

最近一段时间,关于 通过 CSS 创建 “keylogger”(键盘记录器) 的讨论很多。真正的问题在于认为第三方内容是“安全”的。

阅读全文 »

8 大前端安全问题(下)
2017/11/04 · 基础技术 · 1 条评论

本篇文章将介绍剩下的4大前端安全问题,它们分别是:⑤防火防盗防猪队友:不安全的第三方依赖包;⑥用了HTTPS也可能掉坑里;⑦本地存储数据泄露;⑧缺乏静态资源完整性校验

阅读全文 »

8 大前端安全问题(上)
2017/11/04 · 基础技术

“安全”是个很大的话题,各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话,那么所有发生在后端服务器、应用、服务当中的安全问题就是“后端安全问题”,所有发生在浏览器、单页面应用、Web页面当中的安全问题则算是“前端安全问题”。按照这个分类办法,我们总结出了8大典型的前端安全问题。

阅读全文 »

关于 Web 安全,99% 的网站都忽略了这些
2016/11/16 · 基础技术

Web安全是一个如何强调都不为过的事情,我们发现国内的众多网站都没有实现全站https,对于其他安全策略的实践更是很少,本文的目的并非讨论安全和攻击的细节,而是从策略的角度引发对安全的思考和重视。

阅读全文 »

可信前端之路-代码保护
2016/09/11 · CSS, JavaScript

在信息安全领域,可信系统(Trusted system)是一个让人心动的目标,它指的是一个通过实施特定的安全策略而达到一定可信程度的系统。

阅读全文 »

JavaScript 防 http 劫持与 XSS
2016/08/17 · JavaScript · 1 条评论

作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。

阅读全文 »

跳到底部
返回顶部