1. 客户端发送的正常请求 2. 注入SQL发送的恶意请求 ... 可以通过这种方式来尽量减少 XSS 攻击。 1. X-FRAME-OPTIONS 2. JS 防御 1. 浏览器专题系列 - 缓存机制 2. 浏览器专题系列 - 渲染原理 3. 浏览器专题系列 - 阻塞渲染 4…

CSP旨在减少(注意这里是减少而不是消灭)跨站脚本攻击。 CSP 本质上就是建立白名单，开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则，如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。 script-src：在处理脚本资源的时候设…

之前零零散散看过很多web安全方面的文章，也总结过前端网站攻击和防御方式，但是前端常用的基本上也就是cookie、session、认证机制，具体实现主要还是在后端，最近正好在学egg，发现了安全插件egg-security,然后花时间研究下它的使用方式及源码，这样更深入了解其原…

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发…