[2017專題] 前端安全

過往專題搬運。

前端安全

開發視角

• 反擊爬蟲，前端工程師的腦洞能夠有多大？

預防競爭對手用爬蟲進行的信息抓取，咱們除了能夠在後端進行圖靈測試，也能夠前端在 DOM 處作手腳來混淆爬蟲。

• 前端防護之 CSP 詳解

針對 XSS 的前端防護，本文做者介紹了 CSP 的做用與繞過方式，最後給出結論：黑名單配合 CSP 仍然是最靠譜的防護方式。

• 點擊劫持小抄

介紹了預防點擊劫持的多個方案彙總。

• XSS CookBook

介紹了 XSS 的3個分類與21個詳細案例。

• 如何利用/防護 Service Worker

本文介紹了 Service Worker 帶來的風險：XSS持久化、新型Flash攻擊、SW緩存劫持，並介紹了基本防護思路。

• How Can I Use Css In Js Securely

CSS in JS 的方案帶來了開發便利的同時，也帶來了被注入的可能，本文總結了安全使用之道。

黑客視角

• Web 滲透測試常規套路

本篇文章是有關 web 滲透的科普，安全攻防突飛猛進，但其中涉及的思想不會過期。

• 滲透測試嚮導：子域名枚舉技術

本文介紹了經過搜索引擎、第三方 DNS 數據庫、證書服務器、字典爆破、排列置換等方式來枚舉一個域名下子域名。

• 瀏覽器漏洞挖掘思路

這篇文章介紹瀏覽器漏洞挖掘，包括關注更新、枚舉舊漏洞、尋找字符集漏洞與第三方庫漏洞等。

• 我如何在7分鐘內黑入40個網站

本文是做者黑入一臺有40個網站的服務器的過程，介紹了完善的入侵思路。（牆外）