CSRF(Corss-site request forgery)即跨站请求伪造攻击，也常缩写为XSRF，是一种常见的web攻击方式。 简单来说，CSRF攻击就是：用户访问正常网站A的时候，会在浏览器中留下一些登录信息（比如cookie），恶意网站B利用这些登录信息，伪造一些请求…

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…

Helmet 是一个 Express 中间件，它更改了 HTTP 请求的某些响应头，以告知浏览器使用某种安全策略。Helmet 不能带来绝对的安全，比如针对 DNS Rebinding[^dns-rebinding-1] 问题，它就无能为力[^dns-rebinding-2]。…

使用url参数攻击：https://www.baidu.com?jarttoTest=<script>alert(document.cookie)</script>，这种是反射型的XSS，攻击是一次性的。简单来说就是：引导用户点击恶意链接，链接上的js代码被发送至服务器，而服务…