“安全”是一個大話題，有許多類型的安全問題。如果我們根據(jù)安全問題發(fā)生的區(qū)域?qū)ζ溥M行分類，那么所有發(fā)生在后端服務(wù)器、應(yīng)用程序和服務(wù)中的安全問題都是“后端安全問題”，所有發(fā)生在瀏覽器中的安全問題，單頁應(yīng)用和網(wǎng)頁是“前端安全問題”

向陽網(wǎng)絡(luò)公司提醒您，后端應(yīng)用中存在SQL注入漏洞，這是后端安全問題，跨站點腳本攻擊（XSS）是前端安全問題，因為它發(fā)生在用戶的瀏覽器中

除了從安全問題發(fā)生的區(qū)域進行分類外，還可以從另一個維度進行判斷：對于安全問題，團隊中哪個角色最適合修復(fù)它？是后端開發(fā)還是前端開發(fā)

一般來說，當我們在下面討論“前端安全問題”時，我們討論的是瀏覽器、前端應(yīng)用程序中出現(xiàn)的安全問題，或者通常由前端開發(fā)工程師修復(fù)的安全問題

前端安全問題

根據(jù)上述分類方法，我們總結(jié)了八個典型的前端安全問題，它們是：

舊XSS

反火

，防盜和防豬隊友：不安全的依賴第三方的包

由于空間限制，本文首先向您介紹前四個前端安全問題

舊XSS

XSS是跨站點腳本的縮寫。這是一位老兵。很長一段時間以來，它一直占據(jù)OWASPweb應(yīng)用程序前十名的榜單，從未掉入前三名。XSS等安全問題的本質(zhì)是瀏覽器錯誤地執(zhí)行攻擊者提供的用戶輸入數(shù)據(jù)，因為JavaScript腳本

XSS有幾種不同的分類方法。例如，根據(jù)惡意輸入腳本是否存儲在應(yīng)用程序中，XSS分為“存儲XSS”和“反射XSS”。如果它與服務(wù)器交互，則可分為“serversidexss”和“DomBaseDXS”

無論分類如何，XSS漏洞始終是威脅用戶的潛在安全隱患。攻擊者可以利用XSS漏洞竊取用戶身份信息等各種敏感信息，修改網(wǎng)頁欺騙用戶，甚至控制受害者的瀏覽器，或者與其他漏洞結(jié)合形成蠕蟲攻擊等。簡言之，我們只能想象XSS漏洞的利用情況，對此我們無能為力

如何防御

防御XSS的最佳方式是嚴格地輸出數(shù)據(jù)代碼，這樣攻擊者提供的數(shù)據(jù)就不再被瀏覽器視為腳本，而是被錯誤地執(zhí)行。例如