服务器之家:专注于服务器技术及软件下载分享
分类导航

node.js|vue.js|jquery|angularjs|React|json|js教程|

服务器之家 - 编程语言 - JavaScript - js教程 - 确保JavaScript 安全的五大做法

确保JavaScript 安全的五大做法

2022-01-11 01:27粤嵌教育 js教程

如果你运行交互式网站或应用程序,JavaScript 安全性是重中之重。 从程序错误和不安全的用户输入到恶意攻击,有很多事情可能会出错。

为了帮助你保护自己和你的用户,这里给大家介绍几个基本的易于实现的JavaScript安全最佳实践,并推荐了一些工具,可以帮助你消除常见漏洞并防止对你的网站或应用程序的恶意攻击。

确保JavaScript 安全的五大做法

1. 使用 JavaScript linter

避免 JavaScript 安全问题的最简单和最简单的方法是检查代码。Linter 是静态代码分析工具,可检查你的代码是否存在编程和风格错误、代码异味和已知的安全漏洞。

三种最著名的 JavaScript linter 是 JSHint、JSLint 和 ESLint。 现代源代码编辑器,例如 Visual Studio Code 和 Atom,也带有可插入的 JavaScript linting 功能。

2. 避免使用内联 JavaScript 并建立内容安全策略

使用内联脚本标签会使你的网站或应用程序更容易受到跨站点脚本 (XSS) 攻击。 你可以通过将所有脚本(包括内联事件处理程序(例如 onclick))添加为外部 .js 文件来避免这种 JavaScript 安全风险。

为了提高安全性,我们还建议你建立内容安全策略 (CSP)。 这是客户端和服务器之间通信中的一个安全层,允许你向 HTTP 响应标头添加内容安全规则。

如果你的页面上没有任何内联脚本,则设置更有效的 CSP 会更容易。 你可以使用 script-src 和 default-src 指令来阻止所有内联脚本,因此如果任何恶意内联脚本试图在你的站点上执行,它将自动失败。

3. 验证用户输入

在客户端和服务器端验证用户输入对于避免恶意代码注入至关重要。

HTML5 表单带有内置的表单验证属性,例如 required、min、max、type 等,让你无需在客户端使用任何 JavaScript,即可检查用户数据并返回错误消息。 你还可以使用模式 HTML 属性通过正则表达式验证输入的值。

除了这些 HTML5 属性之外,现代浏览器还支持 Constraint Validation API,允许你使用 JavaScript 执行自定义输入验证。

这是一个 Web API,它扩展了属于表单中使用的不同 HTML 元素(例如 HTMLInputElement、HTMLSelectElement 和 HTMLButtonElement)的 JavaScript 接口,并提供了有用的属性和方法,用于根据不同的约束检查输入有效性、报告有效性状态以及执行其他操作。

4. 转义或编码用户输入

为了避免 XSS 攻击,对传入或不安全的数据进行转义或编码也很重要。转义和编码是将可能构成安全风险的特殊字符转换为安全形式的两种技术。

虽然编码会在潜在危险字符之前添加一个额外字符,例如 JavaScript 中引号前的 \ 字符,但转义会将字符转换为等效但安全的格式,例如将 > 字符转换为 > HTML 中的字符串。

根据经验,当 HTML 实体(例如 < 和 > 字符)来自不受信任的来源时,你应该始终对其进行编码。要转义 URI 和 JavaScript 代码,你可以使用免费的转义/编码工具,例如 FreeFormatter 的 JavaScript String Escaper 和 URL Encoder/Decoder。

最好避免使用返回未转义字符串的 JavaScript 属性和方法。例如,你可以使用安全 textContent 属性而不是解析为 HTML 的 innerHTML(因此字符不会被转义)。

5. 压缩、捆绑和混淆你的JavaScript代码

最后,你可以使用 Webpack 等具有更多安全功能的工具来缩小和捆绑你的代码,从而使黑客更难理解你的脚本的结构和逻辑。例如,你可以向它加载的每个脚本添加一个随机数。

虽然缩小和捆绑脚本通常被视为 JavaScript 最佳实践,但混淆是一个有争议的话题。 这是因为浏览器加载混淆脚本需要更长的时间,这会降低性能和用户体验,尤其是在更高的混淆级别。 但是,如果你仍然决定对部分或全部脚本进行混淆,则可以使用免费工具(例如 Obfuscator.io),该工具还具有适用于 Webpack、Grunt、Rollup、Netlify 等流行工具的插件。

遵循这些 JavaScript 安全最佳实践可以帮助你使脚本更安全并防止常见攻击,例如跨站点脚本、跨站点请求伪造、第三方安全漏洞等。

原文链接:https://www.toutiao.com/a7050363518175937036/

延伸 · 阅读

精彩推荐
  • js教程五种使 JavaScript 代码库更干净的方法

    五种使 JavaScript 代码库更干净的方法

    今天向大家介绍5种使JavaScript代码库更干净的方法,一起来看一下都有哪些吧!...

    Mason程10632021-12-29
  • js教程js删除指定位置超链接中含有百度与360的标题

    js删除指定位置超链接中含有百度与360的标题

    最近需要将最近更新的部分内容删除,只要标题中包括百度与360的都给删除了,主要用到了jquery的each,需要的朋友可以参考下...

    JS教程网3682021-12-27
  • js教程js正则表达式简单校验方法

    js正则表达式简单校验方法

    在本篇文章里小编给大家整理了一篇关于js正则表达式简单校验方法,有需要的朋友们可以参考下。...

    小妮浅浅11242021-12-24
  • js教程原生JS实现音乐播放器

    原生JS实现音乐播放器

    这篇文章主要为大家详细介绍了原生JS音乐播放器,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下...

    奶茶只要半糖3582022-01-07
  • js教程选择 JavaScript 测试框架的标准

    选择 JavaScript 测试框架的标准

    由于 JavaScript 被广泛认为是“web语言”,因此该语言的测试自动化框架是最丰富和最受欢迎的也就不足为奇了。通过考虑不同框架的属性,你将更加清楚哪...

    粤嵌教育6712022-01-07
  • js教程JavaScript的一些小技巧分享

    JavaScript的一些小技巧分享

    这篇文章主要介绍了JavaScript的一些小技巧分享,帮助大家更好的理解和使用JavaScript,感兴趣的朋友可以了解下...

    小蘑菇9092021-12-27
  • js教程详解uniapp的全局变量实现方式

    详解uniapp的全局变量实现方式

    这篇文章主要介绍了详解uniapp的全局变量实现方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下...

    茧君10842021-12-29
  • js教程微信小程序 接入腾讯地图的两种写法

    微信小程序 接入腾讯地图的两种写法

    这篇文章主要介绍了微信小程序 接入腾讯地图的两种写法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参...

    木早长泉8762021-12-30