前端源码泄漏

❶ HTML5技术分享 浅谈前端安全以及如何防范

随着互联网的发达，各种WEB应用也变得越来越复杂，满足了用户的各种需求，但是随之而来的就是各种网络安全的问题。作为前端开发行业的我们也逃不开这个问题。所以今天我就简单聊一聊WEB前端安全以及如何防范。

首先前端攻击都有哪些形式，我们该如何防范?

一、XSS攻击

XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植 入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻 击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型 的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。

XSS攻击的危害包括：

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

XSS攻击的具体表现：

1、JavaScript代码注入

下面是代码的页面

2 接着，我们在cheat.php这个网站上面，将跳转过来的源网页地址悄悄的进行修改。

于是，在用户访问了我们的欺骗网站后，之前的tab已经悄然发生了变化，我们将其悄悄的替换为了钓鱼的网站，欺骗用户输入用户名、密码等。

3 我们的钓鱼网站，伪装成XX空间，让用户输入用户名与密码

这种钓鱼方式比较有意思，重点在于我们比较难防住这种攻击，我们并不能将所有的页面链接都使用js打开。所以，要么就将外链跳转的连接改为当前页面跳转，要么就在页面unload的时候给用户加以提示，要么就将页面所有的跳转均改为window.open，在打开时，跟大多数钓鱼防治殊途同归的一点是，我们需要网民们的安全意识提高。

六、我们平时开发要注意些什么?

开发时要提防用户产生的内容，要对用户输入的信息进行层层检测要注意对用户的输出内容进行过滤(进行转义等)重要的内容记得要加密传输(无论是利用https也好，自己加密也好)

get与post请求，要严格遵守规范，不要混用，不要将一些危险的提交使用jsonp完成。

对于URL上携带的信息，要谨慎使用。心中时刻记着，自己的网站哪里可能有危险。

❷ 软件公司要如何保障源代码的安全不会被外泄，不会被员工泄漏

先回答你的问题，然后扩展开说说我的看法。 有些公司是这样做的：为工作场所划分保护级别。 为每台服务器和计算机定义保护级别，并制定相应保护级别下的保护策略，包括授权和访问方法。 将场所分为工作区和上网区，工作区不连外网，上网区是员工共享的非专用机。 封闭所有计算机的外部接口，比如USB口、光驱没有刻录功能、disable蓝牙，不允许计算机和U盘或手机等外设交换数据。 所有对外发的数据统一由高层来接口审核。所有计算机安装后台监控软件，监控操作行为。 普通员工不配置笔记本电脑。 办公空间安装摄像头监视异常行为。 和员工签署保密协议。等等上面的措施的确能起到一定保护作用，但是不能保证绝对不发生问题：公司开展业务必然要和外部进行信息交流，即使在硬件上做到了上述这些，如果真有居心不良的员工，那么只是增加了作案的难度，只要能上网，想把信息传到外部还是有办法的，比如把想窃取的信息通过编码的方式打包到正常外发的文件里。 可以在摄像头死角的地方，暴力破坏计算机，或者把计算机硬盘拆下来拿回去研究。 最不济还可以把核心代码写到笔记上，你总不能不让员工写读书笔记吧。 互联网公司产品的很多代码都是基于开源框架演化来的，有些开源许可是基于GPL的，是要求其衍生物是免费开放源代码的。虽然有很多公司会取巧地绕开这个限定条件。 对于游戏公司，设计、策划、代码的保护是蛮重要的，因为开发期的游戏设计一旦外漏，很可能就失去了市场先机。 照我看，除了专用算法、特定的格式保护、极少数产品本身固有的设计、某些特殊行业（比如网游）之外，很多代码都是通用的，可开放的。有以下一些建议：清晰自己所在的行业特点，对代码外泄做个风险评估，确定保护代码安全的思路和策略； 划分核心代码和非核心代码，分别制定保护策略； 在核心代码上下功夫，能接触这些代码的人一定是可以信任的人，尽可能地少，但也要考虑备份人选； 把核心代码做成编译好的库供程序调用，这样就能降低核心代码泄漏的风险； 员工入职签署保密协议； 选拔高层注重品德和忠诚度，签订竞业保护协议； 最后公司领导要有一个开放心态，正因为有开源的出现，才促进了计算机软件的发展，固守着自己的一亩三分地，早晚要被对手超越。想在竞争中脱颖而出，首先要去除管理者的保守心态。开放、公平竞争才让公司更有底气和信心。

❸ RedisTokenStore 源码解析 以及内存泄漏问题

前端时间，正好在做公司权限相关的架构问题，然后选择了Spring OAuth2来作为公司权限框架，先记录下目前遇到原生问题吧，后续有时间再来整理这个框架的整体脉络；

RedisTokenStore 主要是来做token持久化到redis的工具类

我们先来看下缓存到redis中有哪些key

ACCESS ：用来存放 AccessToken 对象（登录的token值，还有登录过期时间，token刷新值）
AUTH_TO_ACCESS ：缓存的也是AccessToken 对象，是可以根据用户名和client_id来查找当前用户的AccessToken
AUTH ：用来存放用户信息（OAuth2Authentication），有权限信息，用户信息等
ACCESS_TO_REFRESH ：可以根据该值，通过AccessToken找到refreshToken
REFRESH ：用来存放refreshToken
REFRESH_TO_ACCESS ：根据refreshToken来找到AccessToken
CLIENT_ID_TO_ACCESS ：存放当前client_id有多少AccessToken
UNAME_TO_ACCESS ：当没有做单点登录的话，可以使用该key，根据用户名查找当前用户有多少AccessToken可以使用

根据client_id和用户名，来获取当前用户的accessToken，如果缓存中的OAuth2Authentication已经过期，或者雷勇有变化，则会重新更新缓存；

缓存OAuth2AccessToken 和 OAuth2Authentication 对象，该方法主要在登录时调用，会把上面说的所有key值都缓存起来；

再看下，移除accessToken时

目前主要是看这几个方法，其他方法也挺简单的，主要是一些redis缓存操作的；

client_id_to_access 和 uname_to_access 使用的是set集合，众所周知redis的set集合的过期时间是按照整个key来设置的；
每次登陆时，会先根据client_id和用户名去缓存中查找是否有可使用的AccessToken，如果有则返回缓存中的值，没有则生成新的；
所以每次登陆都会往这两个集合中放入新的accessToken，如果当某个用户在AccessToken有效期内没有操作，则当前用户的登陆信息会被动下线，access 和 auth 中缓存的值都会过期，再次登陆时就查找不到了；
但是如果当前平台用户量不小，那么一直都会有人操作，client_id_to_access 这个集合就会一直续期，那么过期了的accessToken就会一直存在该集合中，且不会减少，造成内存泄漏；

1.自己实现TokenStore，修改client_id_to_access 数据结构
2.写个定时任务，定期扫描client_id_to_access ，清除掉已经过期的token
3.如果不需要知道当前有哪些用户登录，或者该功能已经用了其他方式实现的，可以直接去掉这两个redis key

❹ 网页前端怎么防止别人查看源代码，怎样实施加密更安全呢

可以对网页禁止右键察纯漏

用得最多的是functionclick()，即下面这段代码：

〈script〉functionclick(){if(event.button==2){alert('本网站欢迎您!!');}}document.onmousedown=click〈/script〉

第二种方法利用了HTML里的〈body〉来作修改，它只有以下短短的一行代码：

〈裤皮bodyoncontextmenu=self.event.returnValue=false〉

这里，定义oncontextmenu。使右键的值为false，从而屏蔽败烂右键。

❺ 所有的web前端的源代码都是公开的吗

所有的web前端代码都是开源的，你可以照抄，但你懂人家的思想吗，可以多看，最好不要照抄