xgfe

Webpack 是当下最热门的前端资源模块化管理和打包工具。它可以将许多松散的模块按照依赖和规则打包成符合生产环境部署的前端资源。还可以将按需加载的模块进行代码分隔,等到实际需要的时候再异步加载。通过loader的转换,任何形式的资源都可以视作模块,比如 CommonJs 模块、AMD 模块、ES6 模块、CSS、图片、JSON、Coffeescript、LESS 等。

阅读全文 »

Web 前端的安全主要有三类:XSS、CSRF、界面操作劫持。

XSS(Cross Site Scripting),即跨站脚本攻击,是一种代码注入攻击,恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中的 Script 代码会被执行,从而达到恶意攻击用户的目的。

CSRF(Cross Site Request Forgery),即跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。

界面劫持操作是一种基于视觉欺骗的Web会话劫持攻击,包括点击劫持、拖放劫持和触屏劫持三种类型。

在 OWASP TOP 10中,XSS 一直都是名列前茅,有了 XSS 漏洞,就意味着可以注入任意的 JavaScript,被攻击者的任意操作都可以进行模拟,任何隐私信息都可以获取到。基于上述背景,本文将对 XSS 攻击的原理、类型及防御进行介绍。

阅读全文 »