前端安全问题

1,核心漏洞整改:XSS(跨站脚本攻击)

XSS 是前端最频发的漏洞,核心是 “注入恶意脚本并执行”,需从输入过滤、输出编码、执行限制三方面阻断

解决 1 表单谁需要转义 2,强制过滤URL参数

比如Vue中 不使用V-html

若需渲染富文本(如编辑器内容),推荐使用DOMPurify

限制脚本运行权限

进允许自己域名加载脚本,禁止内联

避免使用eval()new Function()setTimeout(string)等可执行字符串的 API,改用函数直接调用

2 csrf

前端需要拦截 自动添加csrfToken

依赖包安全:避免 “供应链攻击”

比如lodashjquery的历史漏洞

需要手动重写常用的

注意package-lock.json 需要锁定依赖,重新提交时候需要严格筛选 进行安全扫描

前端敏感数据不存在 内存

接口方面不返回敏感数据 比如说密码 ID等

X-Frame-Options 禁止签入 Frame