🛡️ 前端工程化安全策略 · 实战

📘 30 章 · 从基础到综合实战
01
安全概述 安全工程化思维
前端安全的重要性 · 常见攻击类型概览 · 安全工程化思维
02
XSS攻击原理 深入剖析
反射型XSS · 存储型XSS · DOM型XSS 深入剖析
03
XSS防御实战 过滤·编码·CSP
输入过滤 · 输出编码 · CSP策略配置与绕过案例
04
CSRF攻击与防御 Token·SameSite
CSRF原理 · SameSite Cookie · Token验证 · Referer检查
05
点击劫持 X-Frame-Options
X-Frame-Options · CSP frame-ancestors · 防御方案对比
06
HTTPS与SSL/TLS 证书·HSTS
证书管理 · HSTS · 混合内容问题 · 证书固定
07
安全HTTP头 CSP·HSTS·X-XSS
CSP · HSTS · X-Content-Type-Options · X-XSS-Protection详解
08
前端加密实践 对称·非对称·哈希
对称加密 · 非对称加密 · 哈希算法 · 前端密钥管理
09
认证与授权 JWT·OAuth2.0
JWT安全 · OAuth2.0流程 · Token存储策略 · 刷新机制
10
会话管理 Cookie·Session
Cookie安全属性 · Session固定攻击 · 会话超时策略
11
输入验证 白名单·正则·注入防御
白名单验证 · 正则表达式安全 · SQL注入防御 · 命令注入防御
12
文件上传安全 类型·内容·隔离
文件类型校验 · 内容检测 · 存储隔离 · 图片重压缩
13
API安全 REST·GraphQL·限流
RESTful API安全设计 · GraphQL安全 · 速率限制 · 参数校验
14
第三方依赖安全 npm·供应链
npm/yarn安全审计 · 依赖版本锁定 · 供应链攻击防御
15
Webpack安全配置 Source Map·环境变量
Source Map控制 · 环境变量注入 · 代码分割安全
16
前端日志安全 脱敏·传输加密
敏感信息脱敏 · 日志级别控制 · 日志传输加密
17
安全编码规范 ESLint·代码审查
ESLint安全规则 · 代码审查清单 · 安全编码最佳实践
18
跨域安全 CORS·postMessage
CORS配置 · JSONP安全 · postMessage安全 · WebSocket安全
19
前端存储安全 localStorage·IndexedDB
localStorage/sessionStorage安全 · IndexedDB安全 · Cookie vs Storage
20
移动端H5安全 WebView·JSBridge
WebView安全 · JSBridge安全 · Deep Link安全 · App内嵌页面安全
21
前端性能与安全 CDN·SRI
CDN安全 · 资源完整性校验(SRI) · 预加载安全
22
安全测试工具 OWASP·Burp Suite
OWASP ZAP · Burp Suite · 前端安全扫描工具 · 自动化测试
23
安全监控与告警 实时告警
前端错误监控 · 安全事件采集 · 实时告警机制
24
安全响应流程 漏洞·应急·复盘
漏洞发现 · 应急响应 · 修复验证 · 复盘总结
25
GDPR与隐私合规 数据最小化
数据最小化原则 · 用户同意管理 · Cookie合规 · 数据删除
26
前端安全架构 纵深防御·零信任
分层防御模型 · 纵深防御 · 零信任架构在前端的应用
27
安全开发生命周期(SDL) 需求·设计·开发·测试
需求阶段安全 · 设计阶段安全 · 开发阶段安全 · 测试阶段安全
28
WebAssembly安全 Wasm沙箱·内存
Wasm沙箱机制 · 内存安全 · 与JavaScript交互安全
29
新兴威胁与防御 AI·零日漏洞
AI驱动的攻击 · 供应链攻击新形态 · 浏览器零日漏洞
30
综合实战项目 完整安全前端应用
构建一个完整的安全前端应用,整合所有防御措施