🛡️ 前端工程化安全策略 · 实战
📘
30 章 · 从基础到综合实战
01
安全概述
安全工程化思维
前端安全的重要性 · 常见攻击类型概览 · 安全工程化思维
↗
02
XSS攻击原理
深入剖析
反射型XSS · 存储型XSS · DOM型XSS 深入剖析
↗
03
XSS防御实战
过滤·编码·CSP
输入过滤 · 输出编码 · CSP策略配置与绕过案例
↗
04
CSRF攻击与防御
Token·SameSite
CSRF原理 · SameSite Cookie · Token验证 · Referer检查
↗
05
点击劫持
X-Frame-Options
X-Frame-Options · CSP frame-ancestors · 防御方案对比
↗
06
HTTPS与SSL/TLS
证书·HSTS
证书管理 · HSTS · 混合内容问题 · 证书固定
↗
07
安全HTTP头
CSP·HSTS·X-XSS
CSP · HSTS · X-Content-Type-Options · X-XSS-Protection详解
↗
08
前端加密实践
对称·非对称·哈希
对称加密 · 非对称加密 · 哈希算法 · 前端密钥管理
↗
09
认证与授权
JWT·OAuth2.0
JWT安全 · OAuth2.0流程 · Token存储策略 · 刷新机制
↗
10
会话管理
Cookie·Session
Cookie安全属性 · Session固定攻击 · 会话超时策略
↗
11
输入验证
白名单·正则·注入防御
白名单验证 · 正则表达式安全 · SQL注入防御 · 命令注入防御
↗
12
文件上传安全
类型·内容·隔离
文件类型校验 · 内容检测 · 存储隔离 · 图片重压缩
↗
13
API安全
REST·GraphQL·限流
RESTful API安全设计 · GraphQL安全 · 速率限制 · 参数校验
↗
14
第三方依赖安全
npm·供应链
npm/yarn安全审计 · 依赖版本锁定 · 供应链攻击防御
↗
15
Webpack安全配置
Source Map·环境变量
Source Map控制 · 环境变量注入 · 代码分割安全
↗
16
前端日志安全
脱敏·传输加密
敏感信息脱敏 · 日志级别控制 · 日志传输加密
↗
17
安全编码规范
ESLint·代码审查
ESLint安全规则 · 代码审查清单 · 安全编码最佳实践
↗
18
跨域安全
CORS·postMessage
CORS配置 · JSONP安全 · postMessage安全 · WebSocket安全
↗
19
前端存储安全
localStorage·IndexedDB
localStorage/sessionStorage安全 · IndexedDB安全 · Cookie vs Storage
↗
20
移动端H5安全
WebView·JSBridge
WebView安全 · JSBridge安全 · Deep Link安全 · App内嵌页面安全
↗
21
前端性能与安全
CDN·SRI
CDN安全 · 资源完整性校验(SRI) · 预加载安全
↗
22
安全测试工具
OWASP·Burp Suite
OWASP ZAP · Burp Suite · 前端安全扫描工具 · 自动化测试
↗
23
安全监控与告警
实时告警
前端错误监控 · 安全事件采集 · 实时告警机制
↗
24
安全响应流程
漏洞·应急·复盘
漏洞发现 · 应急响应 · 修复验证 · 复盘总结
↗
25
GDPR与隐私合规
数据最小化
数据最小化原则 · 用户同意管理 · Cookie合规 · 数据删除
↗
26
前端安全架构
纵深防御·零信任
分层防御模型 · 纵深防御 · 零信任架构在前端的应用
↗
27
安全开发生命周期(SDL)
需求·设计·开发·测试
需求阶段安全 · 设计阶段安全 · 开发阶段安全 · 测试阶段安全
↗
28
WebAssembly安全
Wasm沙箱·内存
Wasm沙箱机制 · 内存安全 · 与JavaScript交互安全
↗
29
新兴威胁与防御
AI·零日漏洞
AI驱动的攻击 · 供应链攻击新形态 · 浏览器零日漏洞
↗
30
综合实战项目
完整安全前端应用
构建一个完整的安全前端应用,整合所有防御措施
↗