Wepress

Appearance

前端的常规安全策略

参考答案:

  • 定期请第三方机构做安全性测试,漏洞扫描
  • 使用第三方开源库做上线前的安全测试,可以考虑融合到CI中
  • code review 保证代码质量
  • 默认项目中设置对应的 Header 请求头,如 X-XSS-Protection、 X-Content-Type-Options 、X-Frame-Options Header、Content-Security-Policy 等等
  • 对第三方包和库做检测:NSP(Node Security Platform),Snyk

题目要点:

答题要点:

1、防止跨站脚本攻击(XSS)

    • 使用HttpOnly属性保护Cookies,防止Cookies被JavaScript访问。
    • 对输入数据进行验证和清洗,避免恶意代码注入。
    • 使用Content Security Policy(CSP)来限制可以加载和执行的资源。

2、防止跨站请求伪造(CSRF)

    • 在请求中添加CSRF令牌,确保每个请求都包含验证信息。
    • 验证请求的来源,确保请求来自可信的域。

3、数据验证和清洗

    • 对用户输入进行验证,防止SQL注入、命令注入等攻击。
    • 清洗输入数据,去除可能包含恶意代码的字符。

4、安全编码实践

    • 使用安全的编程实践,避免常见的编程错误和安全漏洞。
    • 避免使用已知的漏洞代码库和框架。

5、HTTPS的使用

    • 使用HTTPS协议加密数据传输,保护数据不被中间人攻击。
    • 对敏感数据使用TLS/SSL加密