前后端分离的开发方式，我们以接口为标准来进行推动，定义好接口，各自开发自己的功能，最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式，就避免不了调用后端提供的接口来进行业务交互。 网页或者app，只要抓下包就可以清楚的知道这个请求获…

前端安全知识

What? 你还不知道 JSONP 是什么？赶紧去补补吧，我就不多讲了。 我登录了 www.qq.com，QQ 为了给第三方提供服务，可能会有这样的 jsonp 接口，www.qq.com/getUserInfo?callback=action，那我就可以自己构造一个恶意页面，…

xss: 跨站脚本攻击（Cross Site Scripting）是最常见和基本的攻击 WEB 网站方法，攻击者通过注入非法的 html 标签或者 javascript 代码，从而当用户浏览该网页时，控制用户浏览器。 DOM即文本对象模型，DOM通常代表在html、xhtml和…

前几天看到一篇写 js 文件反劫持的文章，想起 15 年主导做百度搜索结果页面反劫持项目做得一些研究，整理成文章，跟大家分享。 常见劫持手段 按照劫持的方法不同，我将劫持分为下面两类： 跳转型劫持：用户输入地址 A，但是跳转到地址 B 注入型劫持：有别于跳转型型劫持，指通过在正常的网页中注…