❶ HTML5技術分享 淺談前端安全以及如何防範
隨著互聯網的發達,各種WEB應用也變得越來越復雜,滿足了用戶的各種需求,但是隨之而來的就是各種網路安全的問題。作為前端開發行業的我們也逃不開這個問題。所以今天我就簡單聊一聊WEB前端安全以及如何防範。
首先前端攻擊都有哪些形式,我們該如何防範?
一、XSS攻擊
XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植 入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻 擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型 的漏洞由於被黑客用來編寫危害性更大的網路釣魚(Phishing)攻擊而變得廣為人知。
XSS攻擊的危害包括:
1、盜取各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號
2、控制企業數據,包括讀取、篡改、添加、刪除企業敏感數據的能力
3、盜竊企業重要的具有商業價值的資料
4、非法轉賬
5、強制發送電子郵件
6、網站掛馬
7、控制受害者機器向其它網站發起攻擊
XSS攻擊的具體表現:
1、JavaScript代碼注入
下面是代碼的頁面
2 接著,我們在cheat.php這個網站上面,將跳轉過來的源網頁地址悄悄的進行修改。
於是,在用戶訪問了我們的欺騙網站後,之前的tab已經悄然發生了變化,我們將其悄悄的替換為了釣魚的網站,欺騙用戶輸入用戶名、密碼等。
3 我們的釣魚網站,偽裝成XX空間,讓用戶輸入用戶名與密碼
這種釣魚方式比較有意思,重點在於我們比較難防住這種攻擊,我們並不能將所有的頁面鏈接都使用js打開。所以,要麼就將外鏈跳轉的連接改為當前頁面跳轉,要麼就在頁面unload的時候給用戶加以提示,要麼就將頁面所有的跳轉均改為window.open,在打開時,跟大多數釣魚防治殊途同歸的一點是,我們需要網民們的安全意識提高。
六、我們平時開發要注意些什麼?
開發時要提防用戶產生的內容,要對用戶輸入的信息進行層層檢測要注意對用戶的輸出內容進行過濾(進行轉義等)重要的內容記得要加密傳輸(無論是利用https也好,自己加密也好)
get與post請求,要嚴格遵守規范,不要混用,不要將一些危險的提交使用jsonp完成。
對於URL上攜帶的信息,要謹慎使用。心中時刻記著,自己的網站哪裡可能有危險。
❷ 軟體公司要如何保障源代碼的安全不會被外泄,不會被員工泄漏
先回答你的問題,然後擴展開說說我的看法。
有些公司是這樣做的:為工作場所劃分保護級別。
為每台伺服器和計算機定義保護級別,並制定相應保護級別下的保護策略,包括授權和訪問方法。
將場所分為工作區和上網區,工作區不連外網,上網區是員工共享的非專用機。
封閉所有計算機的外部介面,比如USB口、光碟機沒有刻錄功能、disable藍牙,不允許計算機和U盤或手機等外設交換數據。
所有對外發的數據統一由高層來介面審核。所有計算機安裝後台監控軟體,監控操作行為。
普通員工不配置筆記本電腦。
辦公空間安裝攝像頭監視異常行為。 和員工簽署保密協議。等等上面的措施的確能起到一定保護作用,但是不能保證絕對不發生問題:公司開展業務必然要和外部進行信息交流,即使在硬體上做到了上述這些,如果真有居心不良的員工,那麼只是增加了作案的難度,只要能上網,想把信息傳到外部還是有辦法的,比如把想竊取的信息通過編碼的方式打包到正常外發的文件里。
可以在攝像頭死角的地方,暴力破壞計算機,或者把計算機硬碟拆下來拿回去研究。
最不濟還可以把核心代碼寫到筆記上,你總不能不讓員工寫讀書筆記吧。
互聯網公司產品的很多代碼都是基於開源框架演化來的,有些開源許可是基於GPL的,是要求其衍生物是免費開放源代碼的。雖然有很多公司會取巧地繞開這個限定條件。
對於游戲公司,設計、策劃、代碼的保護是蠻重要的,因為開發期的游戲設計一旦外漏,很可能就失去了市場先機。
照我看,除了專用演算法、特定的格式保護、極少數產品本身固有的設計、某些特殊行業(比如網游)之外,很多代碼都是通用的,可開放的。有以下一些建議:清晰自己所在的行業特點,對代碼外泄做個風險評估,確定保護代碼安全的思路和策略;
劃分核心代碼和非核心代碼,分別制定保護策略;
在核心代碼上下功夫,能接觸這些代碼的人一定是可以信任的人,盡可能地少,但也要考慮備份人選;
把核心代碼做成編譯好的庫供程序調用,這樣就能降低核心代碼泄漏的風險;
員工入職簽署保密協議;
選拔高層注重品德和忠誠度,簽訂競業保護協議;
最後公司領導要有一個開放心態,正因為有開源的出現,才促進了計算機軟體的發展,固守著自己的一畝三分地,早晚要被對手超越。想在競爭中脫穎而出,首先要去除管理者的保守心態。開放、公平競爭才讓公司更有底氣和信心。
❸ RedisTokenStore 源碼解析 以及內存泄漏問題
前端時間,正好在做公司許可權相關的架構問題,然後選擇了Spring OAuth2來作為公司許可權框架,先記錄下目前遇到原生問題吧,後續有時間再來整理這個框架的整體脈絡;
RedisTokenStore 主要是來做token持久化到redis的工具類
我們先來看下緩存到redis中有哪些key
ACCESS :用來存放 AccessToken 對象(登錄的token值,還有登錄過期時間,token刷新值)
AUTH_TO_ACCESS :緩存的也是AccessToken 對象,是可以根據用戶名和client_id來查找當前用戶的AccessToken
AUTH :用來存放用戶信息(OAuth2Authentication),有許可權信息,用戶信息等
ACCESS_TO_REFRESH :可以根據該值,通過AccessToken找到refreshToken
REFRESH :用來存放refreshToken
REFRESH_TO_ACCESS :根據refreshToken來找到AccessToken
CLIENT_ID_TO_ACCESS :存放當前client_id有多少AccessToken
UNAME_TO_ACCESS :當沒有做單點登錄的話,可以使用該key,根據用戶名查找當前用戶有多少AccessToken可以使用
根據client_id和用戶名,來獲取當前用戶的accessToken,如果緩存中的OAuth2Authentication已經過期,或者雷勇有變化,則會重新更新緩存;
緩存OAuth2AccessToken 和 OAuth2Authentication 對象,該方法主要在登錄時調用,會把上面說的所有key值都緩存起來;
再看下,移除accessToken時
目前主要是看這幾個方法,其他方法也挺簡單的,主要是一些redis緩存操作的;
client_id_to_access 和 uname_to_access 使用的是set集合,眾所周知redis的set集合的過期時間是按照整個key來設置的;
每次登陸時,會先根據client_id和用戶名去緩存中查找是否有可使用的AccessToken,如果有則返回緩存中的值,沒有則生成新的;
所以每次登陸都會往這兩個集合中放入新的accessToken,如果當某個用戶在AccessToken有效期內沒有操作,則當前用戶的登陸信息會被動下線,access 和 auth 中緩存的值都會過期,再次登陸時就查找不到了;
但是如果當前平台用戶量不小,那麼一直都會有人操作,client_id_to_access 這個集合就會一直續期,那麼過期了的accessToken就會一直存在該集合中,且不會減少,造成內存泄漏;
1.自己實現TokenStore,修改client_id_to_access 數據結構
2.寫個定時任務,定期掃描client_id_to_access ,清除掉已經過期的token
3.如果不需要知道當前有哪些用戶登錄,或者該功能已經用了其他方式實現的,可以直接去掉這兩個redis key
❹ 網頁前端怎麼防止別人查看源代碼,怎樣實施加密更安全呢
可以對網頁禁止右鍵察純漏
用得最多的是functionclick(),即下面這段代碼:
〈script〉functionclick(){if(event.button==2){alert('本網站歡迎您!!');}}document.onmousedown=click〈/script〉
第二種方法利用了HTML里的〈body〉來作修改,它只有以下短短的一行代碼:
〈褲皮bodyoncontextmenu=self.event.returnValue=false〉
這里,定義oncontextmenu。使右鍵的值為false,從而屏蔽敗爛右鍵。
❺ 所有的web前端的源代碼都是公開的嗎
所有的web前端代碼都是開源的,你可以照抄,但你懂人家的思想嗎,可以多看,最好不要照抄
