前端安全为什么越来越重要?
随着 Web 应用变得越来越复杂,前端代码承担了越来越多的业务逻辑。第三方脚本的引入也增加了攻击面。XSS 仍然是 OWASP Top 10 中最常见的漏洞之一。
XSS(跨站脚本攻击)
攻击者通过在页面中注入恶意脚本使其在受害者浏览器中执行。防御方法:始终对用户输入进行转义;使用框架内置的安全渲染机制;实施 Content Security Policy(CSP)。
CSRF(跨站请求伪造)
利用用户的已登录状态发起请求。防御方法:使用 CSRF Token;设置 Cookie 的 SameSite 属性;验证 Origin/Referer 头。
Content Security Policy (CSP)
通过设置 HTTP 头指定哪些来源的资源可以被加载,有效缓解 XSS 攻击。
Subresource Integrity (SRI)
确保从 CDN 加载的第三方库未被篡改,通过 integrity 属性校验文件哈希值。
HTTPS 是底线
任何涉及用户数据的网站都必须使用 HTTPS。Let's Encrypt 提供免费证书。