前端安全:别让你的网站成为黑客的游乐场

优质文章学习记录

3 min read

前端安全:别让你的网站成为黑客的游乐场

毒舌时刻

前端安全?这不是后端的事吗?

"我只是个前端,安全关我什么事?"——结果网站被XSS攻击,用户信息泄露,
"我用了框架,应该很安全吧?"——结果框架有漏洞,被人轻松突破,
"我的网站小,没人会攻击的"——结果被黑客当作练手的靶子。

醒醒吧,前端安全不是可有可无的,而是必须重视的!

为什么你需要这个?

  • 保护用户数据:防止用户信息被窃取
  • 维护网站声誉:避免安全事件影响品牌形象
  • 遵守法律法规:如GDPR、CCPA等数据保护法规
  • 防止业务损失:避免因安全问题导致的经济损失

反面教材

// 反面教材:直接拼接HTML字符串 function renderUserInput() { const userInput = document.getElementById('user-input').value; // 危险!直接将用户输入插入到DOM中 document.getElementById('output').innerHTML = userInput; } // 反面教材:不安全的API调用 function login() { const username = document.getElementById('username').value; const password = document.getElementById('password').value; // 危险!在前端存储敏感信息 localStorage.setItem('username', username); localStorage.setItem('password', password); // 危险!明文传输密码 fetch('https://api.example.com/login', { method: 'POST', body: JSON.stringify({ username, password }) }); } // 反面教材:使用不安全的第三方库 // package.json { "dependencies": { "some-old-library": "1.0.0" // 存在已知安全漏洞 } }

正确的做法

// 正确的做法:使用安全的DOM操作 function renderUserInput() { const userInput = document.getElementById('user-input').value; // 安全!使用textContent或createElement document.getElementById('output').textContent = userInput; // 或者使用DOMPurify净化HTML // const sanitizedInput = DOMPurify.sanitize(userInput); // document.getElementById('output').innerHTML = sanitizedInput; } // 正确的做法:安全的API调用 function login() { const username = document.getElementById('username').value; const password = document.getElementById('password').value; // 安全!使用HTTPS传输 fetch('https://api.example.com/login', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ username, password }) }) .then(res => res.json()) .then(data => { // 安全!使用token而不是存储密码 localStorage.setItem('token', data.token); }); } // 正确的做法:定期更新依赖 // package.json { "dependencies": { "some-library": "^2.0.0" // 使用最新版本,避免已知漏洞 }, "scripts": { "security": "npm audit" // 定期检查安全漏洞 } } // 正确的做法:实现内容安全策略(CSP) // 在HTML头部添加 /* <meta http-equiv="Content-Security-Policy" content=" default-src 'self'; script-src 'self' https://trusted-cdn.com; style-src 'self' https://trusted-cdn.com; img-src 'self' https://trusted-cdn.com data:; connect-src 'self' https://api.example.com; frame-src 'none'; "> */ // 正确的做法:防止CSRF攻击 function submitForm() { // 获取CSRF token const csrfToken = document.querySelector('meta[name="csrf-token"]').content; fetch('https://api.example.com/submit', { method: 'POST', headers: { 'Content-Type': 'application/json', 'X-CSRF-Token': csrfToken // 添加CSRF token }, body: JSON.stringify({ data: 'some data' }) }); }

毒舌点评

看看,这才叫前端安全!不是简单地说"我用了HTTPS"就完事了,而是从输入验证、API调用、依赖管理等多个方面入手。

记住,前端安全是一个系统性的工程,不是靠一两个措施就能解决的。你需要时刻保持警惕,关注最新的安全漏洞和防护措施。

所以,别再觉得前端安全不重要了,它可能是你网站的最后一道防线!

总结

  • 输入验证:使用textContent或DOMPurify净化用户输入
  • HTTPS传输:确保所有API调用使用HTTPS
  • 敏感信息保护:不在前端存储密码等敏感信息
  • 依赖管理:定期更新依赖,避免已知安全漏洞
  • 内容安全策略(CSP):限制资源加载来源,防止XSS攻击
  • CSRF防护:使用CSRF token防止跨站请求伪造
  • 安全头部:设置适当的安全相关HTTP头部
  • 定期安全审计:使用工具检查代码中的安全漏洞

前端安全不是选择题,而是必答题!

Read more

异构数据迁移工具:DataX、DataX-Web

异构数据迁移工具:DataX、DataX-Web

异构数据迁移工具:DataX、DataX-Web 一、DataX + DataX-Web 简介: 1. DataX 核心特性 DataX 是阿里开源的 基础数据迁移引擎(纯命令行工具,无界面),核心功能是跨数据源同步数据。 * 架构:通过 “Reader(读数据插件)+ Writer(写数据插件)” 实现跨数据源(MySQL、Oracle、HDFS 等)数据搬运; * 局限性:本身不自带分表规则逻辑,需配合脚本预处理或自定义插件实现按分表规则拆分数据; * 优势:轻量、开源免费、跨数据源兼容性强,适合中小规模数据迁移。 2. DataX-Web 核心作用 DataX 是阿里开源的 基础数据迁移引擎(纯命令行工具,无界面),核心功能是跨数据源同步数据。 * 核心功能:可视化配置迁移任务、定时调度(如每日增量同步)、迁移进度监控、
[AI]从零开始的DeepSeek本地部署及本地API调用教程

[AI]从零开始的DeepSeek本地部署及本地API调用教程

一、前言         最近DeepSeek也是比较火,我也去学习了一下如何本都部署DeepSeek,目前主要方法有两种吧,一种是自己拉取开发环境并且运行模型,另一种则是使用框架来运行模型。使用框架运行模型也是目前部署DeepSeek最简单的方法。那么本次教程,就来教大家如何使用本地的模型框架来运行DeepSeek模型并且调用这个模型的API,如果你准备好了,那就让我们开始吧! 二、使用的框架及硬件要求         本次教程中,会为大家介绍使用Ollama和LM Studio两种框架运行DeepSeek模型,这两款框架在一些地方也各有自己的优缺点,具体的大家可以自行体会。之前的教程中已经为大家演示过如何安装Ollama并且运行llama模型。但是没有教大家如何修改Ollama的路径,本次教程会将这一空缺补齐。         现在来讲讲硬件要求,首先要明确一点的是要运行大模型需要比较高的算力,所以,尽量不要使用太老的电脑进行尝试。对于一些被量化过的模型,比如1.5B参数的模型甚至更小的模型,使用CPU就可以勉强运行。对于一些较大的模型,比如4B,6B,8B的模型,可能就
从零到一 2小时用 AI 写一个微信小程序

从零到一 2小时用 AI 写一个微信小程序

纯 AI 开发实战:如何用 Trae Solo 模式 2 小时搞定微信小程序? 随着 AI 技术的狂飙突进,“写代码”这件事情正在发生前所未有的范式转变。作为一名一直在技术圈摸爬滚打的开发者,最近深度体验了一把“纯 AI”的开发工作流,实在忍不住要和大家分享一下这个“生产力王炸”。 今天这篇文章,我将带大家完整走一遍如何完全依靠 AI(使用 Trae 的 Solo 模式)从零开发一款微信小程序。不需要你手敲成百上千行代码,只需动动嘴皮子(敲敲键盘对话),剩下的全部交给 AI。 缘起:AI 编程的时代来了 过去我们用 AI,更多是把它当成一个“高级搜索引擎”或者“代码补全工具”(也就是 Copilot 模式)。但现在的 AI 编程工具已经进化到了令人胆寒的程度。

【AI】kimi2.5核心技术:注意力残差

Attention Residuals 详解 Attention Residuals(注意力残差)是 Kimi 团队在 2026 年 3 月提出的一项突破性架构创新。它挑战了深度学习领域沿用十年的残差连接(Residual Connections)设计,用可学习的注意力机制取代了传统的固定权重加法,让模型的每一层都能智能地选择从前面的哪些层获取信息。 下面我从核心原理、生动举例和实际应用三个层面,为你系统拆解这项技术。 一、核心原理:为什么需要 Attention Residuals? 1. 传统残差连接的“隐痛” 自从 2015 年 ResNet 诞生以来,残差连接 y = x + f(x) 就成了几乎所有深度神经网络的标配。但它的信息聚合方式非常粗糙:把所有前面层的输出无差别地等权相加。 这带来了两个严重问题: 问题表现后果信息稀释浅层特征在向深层传递时,其相对贡献随深度线性衰减第50层想用第2层的信息,但已被中间48层的信息层层冲淡隐状态爆炸深层模块需要输出更大模长的激活值来维持信号强度数值不稳定,梯度分布不均,训练收敛困难 这就是论文中反复提到的