- 综合排序
- 最热优先
- 最新优先
- 来自专栏ThoughtWorks
8大前端安全问题(下)| 洞见
在《8大前端安全问题(上)》这篇文章里我们谈到了什么是前端安全问题,并且介绍了其中的4大典型安全问题,本篇文章将介绍剩下的4大前端安全问题,它们分别是: 防火防盗防猪队友:不安全的第三方依赖包 用了HTTPS 问题的本质在于浏览器发出去第一次请求就被攻击者拦截了下来并做了修改,根本不给浏览器和服务器进行HTTPS通信的机会。 如果攻击者劫持了CDN,或者对CDN中的资源进行了污染,那么我们的前端应用拿到的就是有问题的JS脚本或者Stylesheet文件,使得攻击者可以肆意篡改我们的前端页面,对用户实施攻击。 ---- 小结 在上一篇和本篇文章中,我们为大家介绍了在开发前端应用的时候容易遇到的8大安全问题,它们是: 老生常谈的XSS 警惕iframe带来的风险 别被点击劫持了 错误的内容推断 防火防盗防猪队友 :不安全的第三方依赖包 用了HTTPS也可能掉坑里 本地存储数据泄露 缺乏静态资源完整性校验 我们希望能通过对这些问题的介绍,引起前端开发小伙伴的注意,尽可能提前绕过这些安全问题的坑。
1.1K80发布于 2018-04-17 - 来自专栏ThoughtWorks
8大前端安全问题(上) | 洞见
当我们说“前端安全问题”的时候,我们在说什么 “安全”是个很大的话题,各种安全问题的类型也是种类繁多。 如果我们把安全问题按照所发生的区域来进行分类的话,那么所有发生在后端服务器、应用、服务当中的安全问题就是“后端安全问题”,所有发生在浏览器、单页面应用、Web页面当中的安全问题则算是“前端安全问题”。 总的来说,当我们下面在谈论“前端安全问题”的时候,我们说的是发生在浏览器、前端应用当中,或者通常由前端开发工程师来对其进行修复的安全问题。 8大前端安全问题 按照上面的分类办法,我们总结出了8大典型的前端安全问题,它们分别是: 老生常谈的XSS 警惕iframe带来的风险 别被点击劫持了 错误的内容推断 防火防盗防猪队友:不安全的第三方依赖包 ---- 小结 本文对前端安全问题进行了一次梳理,介绍了其中4个典型的前端安全问题,包括它们发生的原因以及防御办法。在下篇文章中,我们将介绍其他的几个前端安全问题,敬请期待。 ----
1.2K50发布于 2018-04-17 - 来自专栏雨临Lewis的博客
前端问题汇总
如何设置透明度属性 1 2 3 4 5 6 7 8 filter:alpha(opacity=50); <! ,英文语句也没问题。 主要解决了长串英文的问题。) >,JS文件里的中文在网页上仍然显示为乱码,可能是由于JS文件的编码问题导致的。 JS文件本身的编码默认为ANSI编码,而引入该JS文件的页面则使用了utf-8编码,所以导致了中文乱码。
3.2K20编辑于 2022-01-11 - 来自专栏dcmickey小站
8锁问题
8锁问题 场景一 标准情况访问:两个同步方法,一个对象调用 import java.util.concurrent.TimeUnit; /** * 标准情况下 是先sendEmail() 还是先callPhone : 只要被static 修饰的锁的就是整个class模板 * 这里一个锁的是class模板 一个锁的是调用者 * 所以锁的是两个对象 互不影响 */ public class LockDemo8 { public static void main(String[] args) throws InterruptedException { Phone8 phoneA = new Phone8(); Phone8 phoneB = new Phone8(); new Thread(()->{ try { new Thread(()->{ phoneB.callPhone(); },"B").start(); } } class Phone8{
38210编辑于 2022-06-09 - 来自专栏万丈高楼平地起
前端面试(8)拷贝
js 的基本数据类型的赋值,就是值传递。引用类型对象的赋值是将对象地址的引用赋值。这时候修改对象中的属性或者值,会导致所有引用这个对象的值改变。如果想要真的复制一个新的对象,而不是复制对象的引用,就要用到对象的深拷贝。
48020编辑于 2022-03-09 - 来自专栏李才哥
前端面试系列(8)
33 } } arr.compareVal(); 在任何时代, 教育说起来都是一件高大上的事, 但却没有什么真正有价值的东西是教得会的, 没有任何一种文化模因 可以说清楚一个个体的全部问题
43330发布于 2019-08-02 - 来自专栏达达前端
前端技术前沿8
= "0" + i; } return i; } </script> function formatTime(ms) { ms = new Date("2018/8/ 8 14:20:00").getTime() - Date.now(); if(ms <= 0){ document.getElementById("showTime").innerHTML image.png <head> <meta charset="UTF-<em>8</em>"> <title>简单时长倒计时</title> <SCRIPT type="text/javascript"> image.png <head> <meta charset="UTF-<em>8</em>"> <title>js简单时分秒倒计时</title> <script type="text export function encryptByDES(message) { var key = '$7%9R5Hh&yGDt' var keyHex = CryptoJS.enc.Utf<em>8</em>.
6.2K60发布于 2019-07-03 - 来自专栏终身学习者
针对高级前端的8个级JavaScript面试问题
在这篇博客文章中,我们将深入解释一些重要的 JavaScript 面试问题。我的目标是彻底解释这些面试问题,以便我们能够理解背后的基本概念,并希望在面试中解决其他类似的问题。 现在,我们来解答JavaScript将在哪里搜索变量a的问题。它会查找bar函数的作用域吗,还是会探索全局作用域? 这是一个有趣的问题,测试你是否了解对象的强制类型转换。 在像字符串连接或算术运算这样的场景中与对象一起工作时,这种转换至关重要。 [] == false [] == Number(false) [] == 0 现在我们有了 [] == 0 的比较,这次算法的第8个条件起作用: 如果 Type(x) 是 String 或 Number 由于两者具有相同的值,最终的输出是: 0 == 0 // true 至此,我们已经利用了强制转换(coercion)来解决了我们探讨的最后几个问题,这是掌握JavaScript和解决面试中这类常见问题的重要概念
77410编辑于 2023-09-22 - 来自专栏终身学习者
针对高级前端的8个级JavaScript面试问题
在这篇博客文章中,我们将深入解释一些重要的 JavaScript 面试问题。我的目标是彻底解释这些面试问题,以便我们能够理解背后的基本概念,并希望在面试中解决其他类似的问题。 现在,我们来解答JavaScript将在哪里搜索变量a的问题。它会查找bar函数的作用域吗,还是会探索全局作用域? 这是一个有趣的问题,测试你是否了解对象的强制类型转换。 在像字符串连接或算术运算这样的场景中与对象一起工作时,这种转换至关重要。 [] == false [] == Number(false) [] == 0 现在我们有了 [] == 0 的比较,这次算法的第8个条件起作用: 如果 Type(x) 是 String 或 Number 由于两者具有相同的值,最终的输出是: 0 == 0 // true 至此,我们已经利用了强制转换(coercion)来解决了我们探讨的最后几个问题,这是掌握JavaScript和解决面试中这类常见问题的重要概念
76730编辑于 2023-09-22 - 来自专栏重庆的技术分享区
前端安全问题
它主要是用来防止UI redressing 补偿样式攻击) XSS攻击 攻击过程: 主要是通过html标签注入,篡改网页,插入恶意的脚本,前端可能没有经过严格的校验直接就进到数据库,数据库又通过前端程序又回显到浏览器 先看个有意思的问题: A、B两个人分别在两个岛上,并且分别有一个箱子,一把锁,和打开这把锁的钥匙(A的钥匙打不开B手上的锁,B的钥匙也打不开A的锁)。 这就是公钥和私钥的问题了,答案比较简单,也对应了公钥和私钥在https中的应用过程。 考虑到这个问题,w3c在2015年4月份出了一个 Upgrade Insecure Requests 的草案,他的作用就是让浏览器自动升级请求。 IE8和firefox 18以后的版本都开始支持ALLOW-FROM。chrome和safari都不支持ALLOW-FROM,但是WebKit已经在研究这个了。
1.5K40发布于 2018-05-28 - 来自专栏joealzhou
解决前端缓存问题
vue-cli里的默认配置,css和js的名字都加了哈希值,所以新版本css、js和就旧版本的名字是不同的,不会有缓存问题。
1.1K10发布于 2021-03-04 - 来自专栏朱永胜的私房菜
前端跨域问题
如果后端接口没有设置 cors (跨域资源共享),可在前端解决跨域问题,在 vue.config.js 中配置代理: devServer: { client: { overlay
31020编辑于 2023-10-22 - 来自专栏cwl_Java
前端基础-Ajax缓存问题
第4章 缓存问题 4.1 缓存的产生 以上一节的案例为模板,使用IE9以下版本浏览器测试,有缓存问题; 原因: 在Ajax的get请求中,如果运行在IE内核的浏览器下, 其如果向同一个url发送多次请求时 ,就会产生所谓的缓存问题。 4.2 客户端解决缓存问题 产生缓存的问题就是 我们的客户端向同一个 url 发送了多次请求; 如果我们每次请求的url不同,那么,缓存问题就不会存在了; 我们可以在请求地址的后面加上一个无意义的参数 get',url); 4.3 设置响应头禁用客户端缓存 服务器端在相应客户端请求时,可以设置相应头详细,如: header(‘Content-type:text/html; charset=utf-8’ ) :告诉客户端浏览器,使用utf-8的编码格式解析html页面信息。
1.3K10发布于 2020-03-26 - 来自专栏后端Java
前端传递日期格式问题
——高尔基《世界名言录》 遇到前端传递日期格式问题,我这边用@RequestBody接受前端传递的日期格式为:yyyy-MM-dd 我声明的变量为Date出现了Cannot deserialize value 10"错误 解决方式: 图片 @JsonFormat(shape = JsonFormat.Shape.STRING, pattern = "yyyy-MM-dd", timezone = "GMT+8"
1.2K30编辑于 2023-02-21 - 来自专栏采云轩
前端常见问题分析
前端常见问题分析 http://zoo.zhengcaiyun.cn/blog/article/common-question 在前端开发过程中,常常遇到各种各样的问题和坑点。 尤其是随着技术的不断发展和更新,新的问题也不断涌现。对于初学者而言,这些问题往往让人感到十分困惑和无助。 因此,本文将旨在探讨一些前端开发过程中常见的问题和坑点以及解决方法,帮助读者更加深入地了解前端开发,并解决实际工作中遇到的问题。 数据类型 数字 1. 进制转化问题: /** * 为什么 010 会是 8 */ const num1 = 09 // 9 const num2 = 010 // 8 这边是因为 0 开始的数字js会尝试先把它转成八进制的数字 如果你出现大于 8 的数字,他知道不是八进制还给你转十进制。纯粹的八进制应该用 0o ,类似的还有 0b 二进制和 0x 十六进制,但是他们写的不符合转换条件的话会直接报错。 2.
61451编辑于 2023-09-01 - 来自专栏web前端教室
学习前端的思路问题
image.png 今天在群视频中分享了我自己写的PPT《学习前端的思路问题》,这个PPT主要讲了以下四个问题: 一,前端的核心是学什么? html、js、css 理解前端的工作流程 前端开发,到底是在做什么? 二,你学会JS了,但动不了手是什么原因? 提升JS的路径 在工作中提升 为什么不建议新人通过脱产自学提升JS 然后以这个为题纲,用一个小时10分钟的时间,扩展开来讲了下新人在初入前端行业时,可能会遇到的方方面面的问题。 这个问题,其实是一个理解程度的问题。对于自己的JS,或是前端的水平,要有一个时间维度上的预期。把这个问题,替换为“自己一年工作之后,要达到一个什么样的前端水平”?我觉得是比较适合的。 三,就是你面对的前端开发任务,超出了你的能力范围。 对于前端的使用场景问题,一是技术方面的,二是业务方面的。
938100发布于 2018-02-06 - 来自专栏腾讯IMWeb前端团队
基础 | 前端图片选择问题
作者|observernote 原文|http://www.cnblogs.com/observernotes/p/4806218.html 图片问题的一些总结 前言: 之前个人对于图片的问题,一直还是显得不是很重视 所以趁今天这个不太忙的机会,打算对于图片的问题做一个简单地总结,也算是对之前没掌握到的东西的一个学习与备忘过程。 PNG 格式 格式 位数 透明支持 png8 8 不支持 png8+索引透明 8 仅支持完全透明 png8+alpha透明 8 支持 png24 24 不支持 png32 32 支持 png的格式可以分为以上几种 png8+索引透明可以用来处理桌面端对于低版本浏览器的(ie6)的兼容问题,虽然采用背景杂边的方式只能解决部分锯齿问题,但总好过于无。ie6已然是很早之前的浏览器,本身对其的兼容就势必会牺牲一些东西。 还有关于体积更小,效果更好的WebP,以及对于这种图片方案与前端自动化工具的结合还没有纳入实践……嗯,搞不好哪天懒癌治好了就继续写了。 扫码下方二维码, 随时关注更多前端干货文章!
90020编辑于 2022-06-29 - 来自专栏跨平台全栈俱乐部
前端20个问题【中篇】
问题来了 1.为什么会出现模块化,以及各种模块化标准 移动端React开源项目,从零搭建的webpack脚手架 前端模块化出现是必定的,一个很复杂的应用不可能所有的内容都在一个文件中~ 模块化的历程: ]; arr[j]=arr[j+1]; arr[j+1]=swap; } } } } var arr=[3,1,5,7,2,4,9,6,10,8] [i]); } } return quick_sort(left).concat([pivot],quick_sort(right)); } var arr=[5,6,2,1,3,8,7,1,2,3,4,7 使用Node.js作为中间件,同构服务端渲染单页面应用,以及做转发请求等操作 为了解决单页面应用的SEO问题 传统的SSR渲染是在服务端把代码都运行好了然后通过字符串都形式传给前端渲染 现在都单页面应用是只传输一个空的 3.前端拿到字符串和注水数据后,脱水渲染,然后js文件接管,这时候又是单页面应用的逻辑了~ 经过很久考虑才觉得应该写这5个问题,接下来的5个问题会在下周更新。
74810发布于 2019-08-22 - 来自专栏ShanSan的云原生之路
Web前端安全问题
在互联网时代,信息安全成为一个非常重要的问题,所以我们西部了解前端的安全问题,并且知道如何去预防、修复安全漏洞。 在前端有几种常见的攻击方式:XSS、CSRF、点击劫持、中间人攻击、SQL注入、OS命令注入。 XSS攻击 什么是XSS攻击? SCRF攻击有以下几种防范措施: 禁止第三方网站带Cookies 在前端页面加入验证信息 禁止第三方网站请求 Get请求不对数据进行修改 点击劫持 什么是点击劫持? 点击劫持是一种视觉欺骗的攻击手段。
97710发布于 2020-07-06 - 来自专栏grain先森
前端-JavaScript的内存问题
但引用计数存在一个弊端就是循环引用问题(IE6和IE7就是采用此算法)。循环引用就是指对象A中包含一个指向对象B的引用,而对象B中也包含一个指向对象的引用。 它们在运行之后依然存在,并且引用次数永远不为0,如果这个函数被多次调用,就有可能引起内存泄漏问题。 为了解决循环引用的问题,还有一种方法就是可以实现垃圾回收,那就是标记清除法。 1.1.3 管理内存 使用具备垃圾收集机制的语言编写程序,开发人员一般都不必担心内存管理的问题。但JavaScript在进行内存管理以及垃圾收集时面临的问题还是有些不同。 内存限制问题不仅会影响给变量分配内存,同时还会影响调用栈以及在一个线程中能够同时执行的语句数量。 因此为了确保占用最少的内存可以让页面获取更好的性能。
1.4K50发布于 2019-03-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号