中文意思是跨站脚本攻击。 xss攻击一般是指用恶意的脚本代码去篡改网页，以获取用户的隐私信息。 但如果输入localhost/?user=<script>alert('反射型xss')</script>网页就会被注入脚本，根据注入脚本的不同，攻击者可以借此获取用户的cookie…

在本文中，将解释JSON Web Tokens（JWT）的基本原理以及使用原因。 JWT 是确保应用程序信任和安全的重要部分。 JWT 允许以安全的方式表示诸如用户数据之类的声明。 为了解释 JWT 如何工作，让我们从一个抽象的定义开始。 应该注意，双引号字符串被认为是有效的 …

跨站脚本攻击（XSS）是客户端脚本安全的头号大敌。本文章深入探讨 XSS 攻击原理，下一章（XSS 攻击进阶）将深入讨论 XSS 进阶攻击方式。 本系列将持续更新。 XSS（Cross Site Script），全称跨站脚本攻击，为了与 CSS（Cascading Style …

XSS 的防御很复杂，并不是一套防御机制就能就解决的问题，它需要具体业务具体实现。 目前来说，流行的浏览器内都内置了一些 XSS 过滤器，但是这只能防御一部分常见的 XSS，而对于网站来说，也应该一直寻求优秀的解决方案，保护网站及用户的安全，我将阐述一下网站在设计上该如何避免 …

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…

1. 认识jwt（json web token） jwt是为了在网络应用环境传递声明而执行的一种基于json的开放标准。 jwt被用来在身份提供者和服务提供者间传递被认证的用户身份信息，简单来说，就是用来验证身份的手段，例如登录校验，像我们之前用的cookie。 jwt可以使用…

在 Web 安全领域中，XSS 和 CSRF 是最常见的攻击方式。本文将会简单介绍 XSS 和 CSRF 的攻防问题。

本系列最开始是为了自己面试准备的.后来发现整理越来越多,差不多有十二万字符,最后决定还是分享出来给大家. 这是一个绕不开的话题,肯定有很多看法.但我看来:前端加密看起来有意义,但有时候看起来并没有"意义". 在 HTTP 协议下，数据是明文传输，传输过程中网络嗅探可直接获取其中…

最近公司一个项目在传输数据的时候，测试部门安全扫描后，发现密码类型的数据是明文传输的，果断不符合要求，让加密，就有了接下来的故事。 前后端使用HTTP协议进行交互的时候，由于HTTP报文为明文，所以通常情况下对于比较敏感的信息可以通过加密在前端加密，然后在后端解密实现"混淆"的…