XSS与防护
CSRF与防护
认证与会话安全
依赖与供应链安全
前端加密与数据保护
浏览器安全机制
实战案例
练习与拓展
XSS原理与类型
- 反射型XSS:恶意脚本通过URL参数注入。
- 存储型XSS:恶意脚本存入数据库,影响所有访问者。
- DOM型XSS:前端JS动态插入不可信内容。
XSS攻击演示与防护
// 危险:直接插入用户输入
const html = '<img src=x onerror=alert(1) />';
document.body.innerHTML = html;
// 安全:转义或使用textContent
const safe = document.createElement('div');
safe.textContent = html;
document.body.appendChild(safe);
// CSP内容安全策略
<meta httpEquiv="Content-Security-Policy" content="default-src 'self'">