原来觉得青训营讲的只是前端的一些基础内容,并不太在意,但是上完几节课后就发现自己不了解的东西太多了。很多细节在学习中是会遗漏的,比如关于 XSS 攻击,之前只了解它攻击的大致方式,听过老师的讲解才知道它有三种类型,一种是存储型 XSS 攻击,将恶意脚本存储在数据中,使访问用户收到攻击;另一种是反射型 XSS 攻击,不涉及数据库层面,而是通过对上传的 url 参数植入脚本实现攻击,第三种是基于 DOM 的 XSS 攻击,不需要通过服务器参与,攻击的发起和执行全部在浏览器端进行。像这样的例子还有很多。
青训营的授课老都有着很丰富的经验,他们的见解颇有一种高屋建瓴的感觉,很多时候感觉已经涉及到架构方面的事情了。之前我会感觉前端安全没有特别重要,因为实际承受攻击的是服务器端,前端怎么严防死守都不如服务器端做好各种安全措施,比如数据校验和漏洞处理来得重要,但是在知晓了这么多攻击方式不通过服务器端就可以完成之后,我开始意识到前端安全的重要性,如果因为页面漏洞造成用户损失,对于开发者或者其背后公司也是非常不利的,这是一个双输的局面,所以才更应该注意平时的代码习惯,比如在拼接地址的时候注意过滤,提交表单的时候做好校验工作,哪怕这些事情后端也会去做。
不过参加完青训营也有让我感到遗憾的事情,比如青训营的时间还是太短了,很多东西很难在这么少的时间内讲完讲透。而且我也非常好奇于前端日常的项目是怎么搭建的,可以的话,还是希望能接触到实际项目案例,由经验比较丰富的前辈帮忙指导和答疑,确实很多时候一个人摸索还是如同雾里看花,很难真切。人总是在学习的时候才能感觉到自己的无知,越是经历过这一感触便越深刻,当时以为,前端要学到足以面向工作的程度只需要掌握 HTML、CSS、JavaScript、Axios、Node.js、TypeScript,其中 JS 主要掌握 Promise、Ajax、axios,另外再掌握一种框架即可,现在看来还是远远不够的,前端安全领域、微前端、 WebComponents 等等都是需要自己去进一步加深和拓宽的知识。只是学无止境,所以每个人都应把终身学习当做人生的重要功课去做才是,愿与诸君共勉。
