Hello，AV8D～今天我们要分享的主题是前端Web安全。web安全的重要性不言而喻，是所有互联网企业都绕不开的话题。 在web前端领域，尽管浏览器已经在系统层面帮我们做了诸多的隔离和保护措施，但是网页代码开放式的特点和html、JS的语言特性使得黑客们依然有非常多的可乘之机…

Refused to display 'https://youku.com/' in a frame because it set 'X-Frame-Options' to 'sameorigin'. 网上很多文章提及的Meta标签加X-FRAME-OPTIONS属性，通过go…

HTTPS（全称： Hypertext Transfer Protocol Secure，超文本传输安全协议），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。本文，就来深入介绍下其原理。 使用https的原因其实很简单，就是因为http的不安全。 当我们往服务器发送比…

说到劫持，第一反应可能是什么不好的东西。函数劫持并不邪恶，关键是看使用的人。虽然这个概念在前端领域使用较少，但是在安全领域、自定义业务等场景下还是有一定的使用价值的。所以，这一篇文章将会和大家一起去了解一下JS中的函数劫持是什么，有什么用。 函数劫持，顾名思义，即在一个函数运行…

当你的网站上了HTTPS以后，可否觉得网站已经安全了？这里提供了一个HTTPS是否安全的检测工具，你可以试试。本篇正文讲述的是HTTP安全的最佳实践，着重在于HTTPS网站的Header的相关配置。1

跨站脚本攻击，英文全称是 Cross Site Script，本来缩写是CSS，但是为了和层叠样式表（Cascading Style Sheet，CSS）有所区别，所以在安全领域叫做“XSS”。 XSS 攻击，通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，…

有不少朋友在开发爬虫的过程中喜欢使用Selenium + Chromedriver，以为这样就能做到不被网站的反爬虫机制发现。 先不说淘宝这种基于用户行为的反爬虫策略，仅仅是一个普通的小网站，使用一行Javascript代码，就能轻轻松松识别你是否使用了Selenium + C…

一个多月前，我的个人网站遭受 DDOS 攻击，下线了50多个小时。这篇文章就来谈谈，如何应对这种攻击。 需要说明的是，我对 DDOS 并不精通，从没想过自己会成为攻击目标。攻击发生以后，很多素昧平生的朋友提供了各种帮助和建议，让我学到了很多东西。这里记录的就是对我最…

前后端分离的开发方式，我们以接口为标准来进行推动，定义好接口，各自开发自己的功能，最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式，就避免不了调用后端提供的接口来进行业务交互。 网页或者app，只要抓下包就可以清楚的知道这个请求获…