前端安全防护 · 实战目录
📚 30 章节
🛡️ 漏洞修复
01
安全世界观:为什么前端需要关注安全?常见攻击面与防御原则。
攻击面 · 防御原则
02
XSS攻击原理:反射型、存储型、DOM型XSS的完整攻击链路。
反射 · 存储 · DOM
03
XSS防御实战:输入过滤、输出编码、CSP策略配置与绕过案例。
过滤 · 编码 · CSP
04
CSRF攻击与防御:SameSite Cookie、Token验证、Referer校验。
SameSite · Token · Referer
05
点击劫持:X-Frame-Options、CSP frame-ancestors、JS防御方案。
X-Frame · frame-ancestors
06
HTTPS与中间人攻击:证书验证、HSTS、安全Cookie标记。
证书 · HSTS · Cookie
07
前端加密误区:前端加密≠安全,正确的密码传输与存储方案。
加密误区 · 密码方案
08
SQL注入与前端:参数化查询、ORM使用、前端输入校验的局限性。
参数化 · ORM · 校验局限
09
文件上传漏洞:类型校验、内容检测、文件名处理、存储隔离。
类型校验 · 存储隔离
10
JSON安全:JSON劫持、JSONP安全、大JSON解析攻击。
JSON劫持 · JSONP · 解析攻击
11
前端日志安全:避免敏感信息泄露、日志脱敏策略。
日志脱敏 · 信息泄露
12
第三方依赖安全:npm供应链攻击、依赖审计、锁定文件。
供应链 · 依赖审计
13
Web安全头详解:CSP、HSTS、X-Content-Type-Options等。
CSP · HSTS · 安全头
14
认证与授权安全:JWT安全存储、OAuth2.0隐式流风险、Session管理。
JWT · OAuth · Session
15
本地存储安全:localStorage/sessionStorage风险、IndexedDB安全。
localStorage · IndexedDB
16
DOM操作安全:innerHTML危险、createElement安全实践、sanitize库。
innerHTML · sanitize
17
前端路由安全:前端鉴权绕过、路由守卫的正确实现。
鉴权绕过 · 路由守卫
18
WebSocket安全:连接验证、消息校验、WSS协议。
连接验证 · WSS
19
CORS安全配置:白名单策略、预检请求、凭证传递。
白名单 · 预检 · 凭证
20
前端重放攻击:时间戳、Nonce、签名机制。
时间戳 · Nonce · 签名
21
安全编码规范:ESLint安全规则、代码审查清单。
ESLint · 审查清单
22
自动化安全测试:OWASP ZAP、Burp Suite、前端扫描工具。
ZAP · Burp · 扫描
23
安全开发生命周期:威胁建模、安全需求、安全测试。
威胁建模 · SDL
24
移动端WebView安全:JavaScript接口、文件访问、URL白名单。
WebView · JS接口
25
前端加解密实战:Web Crypto API、安全随机数、密钥管理。
Crypto API · 密钥管理
26
内容安全策略(CSP)深入:指令详解、报告机制、部署策略。
指令详解 · 报告机制
27
子资源完整性(SRI):防止CDN篡改、生成与验证hash。
SRI · CDN · Hash
28
前端指纹与反指纹:Canvas指纹、浏览器指纹、隐私保护。
Canvas指纹 · 反指纹
29
安全事件响应:漏洞报告、应急修复、复盘总结。
应急修复 · 复盘
30
综合实战:构建一个安全的前端应用(从架构到部署)。
架构 · 部署 · 综合
⚡ 点击任意卡片即可跳转至对应章节 (01.html ~ 30.html)