如题,网上可以查出来很多,但是仍提这个问题,算是作为一个广纳的总结吧。希望大家说说感觉比较重要的或者比较偏的点。
两个比较常见的问题就是XSS攻击(跨站脚本攻击)和SQL注入。
前端是无法防住任何恶意攻击的。但是前端需要防止正常用户无意的操作导致的安全性问题。
原则1:不相信来自于用户的输入
原则2:不相信任何来自于用户的输入
原则3:千万不要相信任何来自于用户的输入
应对策略就是考虑各种边界条件。
你对网络安全有兴趣的话,可以读一读《白帽子讲web安全》。
尽量避免自己去拼接html字串
xss攻击,提交表单不要用get,慎用eval
其实这个东西不是前端后端几句话说的明白的。
经常关注OWASP的最新动态。
找几本Web安全的书认真做做功课。
我感觉这个问题没什么意义,因为开发的原则就是不要相信任何来自前端的提交,无论前端设计多优秀后端还是要一个不差的过滤掉。
如果非要说一点呢,就是前端对后端一些字段再转义一下(不过前端的html什么都不转移就存数据库还往回写也不是前端工程师的错吧),不要把来自request的东西直接写到前台。
另外eval有时候是必须用的,不是所有浏览器都有stringify和parse啊