JavaScript 进阶实战课
石川
JavaScript Patterns and Anti-Patterns 等开源项目创建者,O'Reilly 技术评审
15066 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 47 讲
开篇词 (1讲)
开篇词 | JavaScript的进阶之路
时长 14:07
JavaScript之道 (9讲)
01 | 函数式vs.面向对象:响应未知和不确定
时长 16:42
02 | 如何通过闭包对象管理程序中状态的变化?
时长 11:07
03 | 如何通过部分应用和柯里化让函数具象化?
时长 12:20
04 | 如何通过组合、管道和reducer让函数抽象化?
时长 10:53
05|map、reduce和monad如何围绕值进行操作?
时长 10:48
06 | 如何通过模块化、异步和观察做到动态加载?
时长 09:36
07 | 深入理解对象的私有和静态属性
时长 08:45
08|深入理解继承、Delegation和组合
时长 09:15
09|面向对象:通过词法作用域和调用点理解this绑定
时长 05:49
JavaScript之法 (11讲)
10|JS有哪8种数据类型,你需要注意什么?
时长 16:11
11|通过JS引擎的堆栈了解闭包原理
时长 13:35
12|JS语义分析该用迭代还是递归?
时长 10:31
13 | JS引擎如何实现数组的稳定排序?
时长 10:38
14 | 通过SparkPlug深入了解调用栈
时长 11:42
15 | 如何通过哈希查找JS对象内存地址?
时长 11:29
16 | 为什么环形队列适合做Node数据流缓存?
时长 10:42
17 | 如何通过链表做LRU/LFU缓存?
时长 09:15
18 | TurboFan如何用图做JS编译优化?
时长 14:32
19 | 通过树和图看如何在无序中找到路径和秩序
时长 15:14
20 | 算法思想:JS中分治、贪心、回溯和动态规划
时长 10:18
JavaScript之术 (11讲)
21 | 创建型:为什么说Redux可以替代单例状态管理
时长 11:07
22|结构型:Vue.js如何通过代理实现响应式编程
时长 10:12
23 | 结构型:通过jQuery看结构型模式
时长 12:29
24 | 行为型:通过观察者、迭代器模式看JS异步回调
时长 09:10
25 | 行为型:模版、策略和状态模式有什么区别?
时长 08:18
26|特殊型:前端有哪些处理加载和渲染的特殊“模式”?
时长 17:29
27|性能:如何理解JavaScript中的并行、并发?(上)
时长 12:56
28|性能:如何理解JavaScript中的并行、并发?(下)
时长 13:47
29|性能:通过Orinoco、Jank Busters看垃圾回收
时长 11:29
30|网络:从HTTP/1到HTTP/3,你都需要了解什么?
时长 23:05
31|安全:JS代码和程序都需要注意哪些安全问题?
时长 11:29
JavaScript之器 (9讲)
32|测试(一):开发到重构中的测试
时长 11:02
33|测试(二):功能性测试
时长 10:33
34|测试(三):非功能性测试
时长 12:17
35|静态类型检查:ESLint语法规则和代码风格的检查
时长 11:50
36|Flow:通过Flow类看JS的类型检查
时长 11:34
37|包管理和分发:通过NPM做包的管理和分发
时长 12:52
38|编译和打包:通过Webpack、Babel做编译和打包
时长 11:57
39|语法扩展:通过JSX来做语法扩展
时长 10:06
40|Polyfill:通过Polyfill让浏览器提供原生支持
时长 12:28
JavaScript之势 (3讲)
41|微前端:从MVC贫血模式到DDD充血模式
时长 15:54
42|大前端:通过一云多端搭建跨PC/移动的平台应用
时长 12:18
43|元编程:通过Proxies和Reflect赋能元编程
时长 10:01
结束语 (3讲)
结束语|JavaScript的未来之路:源于一个以终为始的初心
时长 09:31
期末测验|来赴一场100分之约!
时长 00:34
特别加餐|当JS遇到AIGC,会碰撞出什么样的火花?
时长 15:40
JavaScript 进阶实战课
15
15
1.0x
00:00/00:00
登录|注册

31|安全:JS代码和程序都需要注意哪些安全问题?

石川
你好,我是石川。
对于大多 Web 应用来说,我们的程序所提供的功能是对外公开的,这给我们带来了流量的同时,也给我们的系统带来了风险。而且越是关注度高的应用,就越有可能遭到攻击,所以安全是任何应用都要重视的一个话题。
那么今天,我们来看一下在 JavaScript 中需要做的安全考虑。这里就包含了跨站脚本攻击(XSS)、跨站请求伪造(CSRF)和 XXE 漏洞。下面,我们来一一看一下这些问题,总结下相关的安全解决方法。

跨站脚本攻击

跨站脚本攻击是一种非常常见的攻击。顾名思义,它指的就是通过来自跨网站的脚本发起的攻击。为了降低出现 XSS 漏洞的可能性,有一条重要的开发原则是我们应该禁止任何用户创建的未经过处理的数据传递到 DOM 中。而当用户创建的数据必须传递到 DOM 中时,应该尽量以字符串的形式传递。

类字符串检查

我们可以通过多种方式在客户端和服务器上对数据进行检查。其中一种方法是利用 JavaScript 中的内置函数 JSON.parse(),它可以将文本转换为 JSON 对象,因此将数字和字符串与转换后的内容做对比。如果一致,就可以通过检查,但函数等复杂的数据类型的对比是会失败的,因为它们不符合与 JSON 兼容的格式。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

本文介绍了在JavaScript代码和程序开发过程中需要注意的安全问题,特别是跨站脚本攻击(XSS)、跨站请求伪造(CSRF)和XXE漏洞。针对XSS漏洞,建议开发者禁止未经处理的用户数据传递到DOM中,并进行类字符串检查、字符串净化、HTML实体编码、CSS净化以及实施内容安全策略(CSP)。对于CSRF攻击,建议开发者通过请求来源检查和使用CSRF令牌来减少风险。另外,文章还提到了一些需要尽量避免使用的API,如DOMParser API、Blob和SVG的API。此外,还介绍了泛系统的CSRF防御和XXE漏洞的防范方法。总的来说,本文强调了在开发JavaScript代码和程序时需要注重安全性,以降低遭受攻击的风险。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《JavaScript 进阶实战课》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
01 | 函数式vs.面向对象:响应未知和不确定
02 | 如何通过闭包对象管理程序中状态的变化?
20 | 算法思想:JS中分治、贪心、回溯和动态规划
22|结构型:Vue.js如何通过代理实现响应式编程
28|性能:如何理解JavaScript中的并行、并发?(下)
特别加餐|当JS遇到AIGC,会碰撞出什么样的火花?
登录 后留言

全部留言(1)

  • 最新
  • 精选
  • 郭慧娟
    "因为在这种情况下,DOM 的结构和标签名称的控制权会在开发者自己手中,而负载只负责内容。" 这句话有问题吧

    作者回复: 在这种情况下,DOM的结构和标签就是由开发者掌握的,加载的部分只是内容

    2022-12-04归属地:海南
    1
收起评论
显示
设置
留言
1
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部