XSS（cross-site scripting跨域脚本攻击）攻击是最常见的Web攻击，其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种，分别是： 1. Reflected XSS（基于反 ...

CSRF是什么？ CSRF（Cross Site Request Forgery），中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任 ...

在我上一篇《前端安全之XSS攻击》文中，并没有把XSS攻击的解决办法说完整，而XSS的攻击又那么五花八门，有没有一招“独孤九剑”能够抗衡，毕竟那么多情况场景，开发人员无法一一照顾过来，而今天通过阅读《 ...

点击劫持（ClickJacking）是一种视觉上的欺骗手段。大概有两种方式，一是攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的 ...

在数据添加到DOM时候，我们可以需要对内容进行HtmlEncode或JavaScriptEncode，以预防XSS攻击。 JavaScriptEncode 使用“\”对特殊字符进行转义，除 ...

今天思考下前端源码安全的东西（不是前端安全，只是针对于源码部分）。在我看来，源码安全有两点，一是防止抄袭，二是防止被攻破。实际上讲，前端的代码大多是没有什么可抄袭性，安全更是形同虚设的（任何前端输入都 ...

是什么 沙盒（sandbox），另称沙箱，是一种按照安全策略限制程序行为的执行环境。“沙盒”技术的实践运用流程是：让疑似病毒文件的可疑行为在虚拟的“沙盒”里充分运行，“沙盒”会记下它的每一个动作；当 ...