为什么要做Cookie防篡改，一个重要原因是 Cookie中存储有判断当前登陆用户会话信息（Session）的会话票据-SessionID和一些用户信息。 当发起一个HTTP请求，HTTP请求头会带上Cookie，Cookie里面就包含有SessionID。 后端服务根据Ses…

在说 opener 之前，可以先聊聊 <iframe> 中的 parent。 我们知道，在 <iframe> 中提供了一个用于父子页面交互的对象，叫做 window.parent，我们可以通过 window.parent 对象来从框架中的页面访问父级页面的 window。 op…

我们都知道，采用JS客户端直接签名，OSSAccessId和AccessKeySecret暴露在前端页面，可以被轻易获取，存在严重安全隐患。 这里提供了一种使用阿里云OSS服务器端签名后直传，避免这种危险的方法。由于阿里云OSS开发文档只提供了Java，PHP，Python和G…

假如你在项目中遇到过 eslint 报错 Potential timing attack ，不可忽视！这是一个涉及到安全的问题：时序攻击。 首先eslint引入了一个叫做eslint-plugin-security的插件，这个插件有助于识别出潜在的安全问题，但同时也会产生误报的…