| 导语 其实在前端编码中，或多或少都会接触到沙箱，可能天真善良的你没有留意到，又可能，你还并不知道它的真正用途，学会使用沙箱，可以避免潜在的代码注入以及未知的安全问题。 沙箱，即sandbox，顾名思义，就是让你的程序跑在一个隔离的环境下，不对外界的其他程序造成影响，通过创…

最近想要做一个小项目，由于前后都是一个人，在登录和注册的接口上就被卡住了，因此想登录、注册、口令之间的关系，使用 PHP 实现登录注册模块，和访问口令。 在网络来说，我们知道不论 POST 请求和 GET 请求都会被抓包，在没有使用 HTTPS 的情况下，抓包我们是防不住的，如…

互联网本来是安全的，自从有了研究安全的人之后，互联网就变得不安全了。 字典的解释是指没有受到威胁、没有危险、危害、损失。 类似我们在机场，火车站里面，乘客开始上车之前，都会有一个必要的程序：安全检查。如果没有安全检查我们就会产生我们所谓的安全问题。在安全检查中我们会检查乘客身上…

在战国时期，商鞅变法，发明了照身帖。照身帖由官府发放，是一块打磨光滑细密的竹板，上面刻有持有人的头像和籍贯信息。国人必须持有，如若没有就被认为是黑户，或者间谍之类的。 在现实生活中，每个人都会有一张专属的居民身份证，是用于证明持有人身份的一种法定证件。通过身份证，我们可以办理手…

“有人的地方就有江湖，有数据库存在的地方就可能存在 SQL 注入漏洞。” 在所有漏洞类型中，SQL 注入可是说是危害最大最受大家关注的漏洞。简单说来，SQL 注入是通过在用户可控参数中注入SQL语法，破坏原有SQL结构，达到编写程序时意料之外结果的攻击行为。还是以 ThinkJ…

编者说：作为JS系工程师接触最多的漏洞我想就是 XSS 漏洞了，然鹅并不是所有的同学对其都有一个清晰的认识。今天我们请来了@卢士杰 同学为我们分享他眼中的 XSS 漏洞攻击，希望能帮助到大家。 XSS（Cross-Site Scripting）又称跨站脚本，XSS的重点不在于跨…

XSS攻击的全称是跨站脚本攻击(Cross Site Scripting)，为不跟层叠样式表 (Cascading Style Sheets,CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS 跨站脚本攻击也就是在网站里嵌入恶意脚本程序，当用户打开网站时，窃取Cookie，盗取…

跨站脚本攻击（XSS）是客户端脚本安全的头号大敌。本文章深入探讨 XSS 攻击原理，下一章（XSS 攻击进阶）将深入讨论 XSS 进阶攻击方式。 本系列将持续更新。 XSS（Cross Site Script），全称跨站脚本攻击，为了与 CSS（Cascading Style …

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…