• 

      

      gzyueqian
      13352868059
      Web前端培訓:確保JavaScript 安全最佳做法
      更新時間: 2022-01-07 14:33:24來源: 粵嵌教育瀏覽量:11233
      
	  如果你運行交互式網站或應用程序,JavaScript 安全性是重中之重。 
從程序錯誤和不安全的用戶輸入到惡意攻擊,有很多事情可能會出錯。想要掌握JavaScript更多的編程技能和知識,建議參加web前端培訓,課程實時更新,緊跟企業需求,讓你輕松找到工作。

      

      
	
      
      

      

      
	  為了幫助你保護自己和你的用戶,這里給大家介紹幾個基本的易于實現的JavaScript安全最佳實踐,并推薦了一些工具,可以幫助你消除常見漏洞并防止對你的網站或應用程序的惡意攻擊。

      

      
	
      
      

      

      
	  1. 使用 JavaScript linter

      

      
	
      
      

      

      
	  避免 JavaScript 安全問題的最簡單和最簡單的方法是檢查代碼。Linter 
是靜態代碼分析工具,可檢查你的代碼是否存在編程和風格錯誤、代碼異味和已知的安全漏洞。

      

      
	
      
      

      

      
	  三種最著名的 JavaScript linter 是 JSHint、JSLint 和 ESLint。 現代源代碼編輯器,例如 
Visual Studio Code 和 Atom,也帶有可插入的 JavaScript linting 功能。

      

      
	
      
      

      

      
	  2. 避免使用內聯 JavaScript 并建立內容安全策略

      

      
	
      
      

      

      
	  使用內聯腳本標簽會使你的網站或應用程序更容易受到跨站點腳本 (XSS) 攻擊。 
你可以通過將所有腳本(包括內聯事件處理程序(例如 onclick))添加為外部 .js 文件來避免這種 JavaScript 安全風險。

      

      
	
      
      

      

      
	  為了提高安全性,我們還建議你建立內容安全策略 (CSP)。 這是客戶端和服務器之間通信中的一個安全層,允許你向 HTTP 
響應標頭添加內容安全規則。更多關于JavaScript 
安全性的相關知識,可以考慮通過參加web前端培訓來學習,有專業老師指導,有全面系統的課程,學起來又快又輕松。

      

      
	
      
      

      

      
	  如果你的頁面上沒有任何內聯腳本,則設置更有效的 CSP 會更容易。 你可以使用 script-src 和 
default-src 指令來阻止所有內聯腳本,因此如果任何惡意內聯腳本試圖在你的站點上執行,它將自動失敗。

      

      
	
      
      

      

      
	


      

      
	
      
      

      

      
	  3. 驗證用戶輸入

      

      
	
      
      

      

      
	  在客戶端和服務器端驗證用戶輸入對于避免惡意代碼注入至關重要。

      

      
	
      
      

      

      
	  HTML5 表單帶有內置的表單驗證屬性,例如 required、min、max、type 等,讓你無需在客戶端使用任何 
JavaScript,即可檢查用戶數據并返回錯誤消息。 你還可以使用模式 HTML 屬性通過正則表達式驗證輸入的值。

      

      
	
      
      

      

      
	  除了這些 HTML5 屬性之外,現代瀏覽器還支持 Constraint Validation API,允許你使用 
JavaScript 執行自定義輸入驗證。

      

      
	
      
      

      

      
	  這是一個 Web API,它擴展了屬于表單中使用的不同 HTML 元素(例如 
HTMLInputElement、HTMLSelectElement 和 HTMLButtonElement)的 JavaScript 
接口,并提供了有用的屬性和方法,用于根據不同的約束檢查輸入有效性、報告有效性狀態以及執行其他操作。

      

      
	
      
      

      

      
	  4. 轉義或編碼用戶輸入

      

      
	
      
      

      

      
	  為了避免 XSS 
攻擊,對傳入或不安全的數據進行轉義或編碼也很重要。轉義和編碼是將可能構成安全風險的特殊字符轉換為安全形式的兩種技術。在web前端培訓學習中,有專業講師面授指導教學,還有系統全面的課程,你可以很快掌握這些知識和技能。

      

      
	
      
      

      

      
	  雖然編碼會在潛在危險字符之前添加一個額外字符,例如 JavaScript 中引號前的  
字符,但轉義會將字符轉換為等效但安全的格式,例如將 > 字符轉換為 > HTML 中的字符串。

      

      
	
      
      

      

      
	  根據經驗,當 HTML 實體(例如 < 和 > 字符)來自不受信任的來源時,你應該始終對其進行編碼。要轉義 
URI 和 JavaScript 代碼,你可以使用免費的轉義/編碼工具,例如 FreeFormatter 的 JavaScript String Escaper 
和 URL Encoder/Decoder。

      

      
	
      
      

      

      
	  最好避免使用返回未轉義字符串的 JavaScript 屬性和方法。例如,你可以使用安全 textContent 
屬性而不是解析為 HTML 的 innerHTML(因此字符不會被轉義)。

      

      
	
      
      

      

      
	  5. 壓縮、捆綁和混淆你的JavaScript代碼

      

      
	
      
      

      

      
	  最后,你可以使用 Webpack 
等具有更多安全功能的工具來縮小和捆綁你的代碼,從而使黑客更難理解你的腳本的結構和邏輯。例如,你可以向它加載的每個腳本添加一個隨機數。

      

      
	
      
      

      

      
	  雖然縮小和捆綁腳本通常被視為 JavaScript 最佳實踐,但混淆是一個有爭議的話題。 
這是因為瀏覽器加載混淆腳本需要更長的時間,這會降低性能和用戶體驗,尤其是在更高的混淆級別。 
但是,如果你仍然決定對部分或全部腳本進行混淆,則可以使用免費工具(例如 Obfuscator.io),該工具還具有適用于 
Webpack、Grunt、Rollup、Netlify 等流行工具的插件。

      

      
	
      
      

      

      
	  遵循這些 JavaScript 
安全最佳實踐可以幫助你使腳本更安全并防止常見攻擊,例如跨站點腳本、跨站點請求偽造、第三方安全漏洞等。對JavaScript感興趣的同學可以參加web前端培訓,你可以很快學會這些工具的使用,比自學效果更高,知識點更全面,讓學習少走彎路。

      免費預約試聽課
      上一篇:嵌入式開發:調試嵌入式目標
      下一篇:Java培訓:什么是容器化?
      
亚洲另类欧美综合久久图片区_亚洲中文字幕日产无码2020_欧美日本一区二区三区桃色视频_亚洲AⅤ天堂一区二区三区

      

    1. 

        
亚洲国产嫩草影院
|
伊人久久大香线蕉一区
|
日韩在线看片免费人成视频播放
|
日韩精品免费一区二区三区
|
欧美亚洲国产aⅴ人妖
|
欧洲亚洲国产Av大全
|