随着互联网的发展，各种Web应用变得越来越复杂，满足了用户的各种需求的同时，各种网络安全问题也接踵而至。作为前端工程师的我们也逃不开这个问题，今天一起看一看Web前端有哪些安全问题以及我们如何去检测和防范这些问题。非前端的攻击本文不会讨论(如SQL注入，DDOS攻击等)，毕竟后…

总的来说安全是很复杂的一个领域，不可能通过这一篇文章就能学习到这部分的所有内容。我们会学习到常见的一些安全问题及如何防范的内容，在当下其实安全问题越来越重要，已经逐渐成为前端开发必备的技能了。 XSS 简单点来说，就是攻击者想尽一切办法将可以执行的代码注入到网页中。 XSS 可…

http劫持分两种，一种是DNS劫持（域名劫持），另一种是关联内容劫持。 后者是基于前者发展起来的，比较高级的劫持手段。 在可劫持的网络范围内，拦截 域名解析 的请求，分析其域名，把拦截条件范围外的放行，范围内的返回篡改后的ip或失去响应。 使特定网络无法响应或返回假地址。 对…

在本文中，我将介绍常用的安全头信息设置，并对每个响应头设置给出一个示例。 内容安全策略（CSP）常用来通过指定允许加载哪些资源来防止跨站点脚本攻击。在接下来所介绍的所有安全头信息中，CSP 可能是创建和维护花费时间最多的而且也是最容易出问题的。在配置你的网站 CSP 过程中，要…

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…

最近项目频频遇到 CDN 劫持的事情，学习到可以通过 Subresource Integrity 的方式有效应对。 SRI 全称 Subresource Integrity - 子资源完整性，是指浏览器通过验证资源的完整性（通常从 CDN 获取）来判断其是否被篡改的安全特性。 …

运营商是指那些提供宽带服务的ISP，包括三大运营商中国电信、中国移动、中国联通，还有一些小运营商，比如长城宽带、歌华有线宽带。运营商提供最最基础的网络服务，掌握着通往用户物理大门的钥匙，目前运营商劫持很普遍。 DNS劫持：这种劫持会把你重新定位到其它网站，我们所熟悉的钓鱼网站就…

背景 前段时间在处理iOS端的HTTPDNS相关SDK，在接入和测试环节发现大家对HTTP的整体请求流程包括HTTP劫持原理以及HTTPDNS的工作原理并不是太清楚，所以写下这边文章帮助大家深入web请求过程：如何发起请求，HTTP协议解析，DNS域名解析。 HTTP发起一个请求…

XSS 简单点来说，就是攻击者想尽一切办法将可以执行的代码注入到网页中。 XSS 可以分为多种类型，但是总体上我认为分为两类：持久型和非持久型。 持久型也就是攻击的代码被服务端写入进数据库中，这种攻击危害性很大，因为如果网站访问量很大的话，就会导致大量正常访问页面的用户都受到攻…