2021年保护JavaScript的7个步骤
点击上方关注 TianTianUp,一起学习,天天进步
大家好,我是TianTian。
今天分享的内容是如何保护JavaScript的安全性。
正文
今天,JavaScript的使用无处不在。它在你的浏览器和后端运行。
此外,JavaScript是一个高度依赖第三方库的生态系统。因此,确保JavaScript的安全需要遵循最佳实践来减少攻击。但是,我们如何保持JavaScript应用程序的安全?让我们来了解一下。
1. JavaScript的完整性检查
作为一个前端开发者,你可能已经使用**< script >**标签来导入第三方库。你想过这样做的安全风险吗?如果第三方资源被篡改了怎么办?是的,当你在你的网站上渲染外部资源时,这些事情都可能发生。因此,你的网站可能会面临一个安全漏洞。作为对此的安全措施,你可以在你的脚本中添加一个完整性(也称为子资源完整性--SRI)代码,如下所示。
<scriptsrc="https://code.jquery.com/jquery-3.3.1.slim.min.js"integrity="sha384-q8i/X+965DzO0rT7abK41JStQIAqVgRVzpbzo5smXKp4YfRvH+8abtTE1Pi6jizo"crossorigin="anonymous">
</script>
完整性属性允许浏览器检查获取的脚本,以确保如果源头被篡改,代码永远不会被加载。
注意:还是要确保你最初引用的代码不包含任何漏洞。
2. 经常测试NPM的漏洞
我希望你们都知道,我们可以使用npm audit 命令来检测所有安装的依赖关系的漏洞。它提供漏洞报告,并为它们提供修复。
但你多长时间做一次呢?
除非我们把它自动化,否则这些漏洞会堆积起来,使之难以修复。记住,其中一些甚至可能是关键的,允许严重的漏洞。作为一个解决方案,你可以在你的CI中为每个拉动请求运行NPM来识别漏洞。因此,你可以防止任何漏洞不被注意到。
然而,有一些漏洞需要开发人员的手动干预才能解决。
GitHub的一个额外举措
最近,GitHub推出了一个名为Dependabot的机器人,自动扫描NPM的依赖关系,并通过电子邮件通知你,说明风险。
3. 保持次要和补丁版本更新
你有没有见过任何NPM软件包版本前面的^或~符号?
这些符号表示对次要版本和补丁版本(取决于符号)的自动版本提升。从技术上讲,次要版本和补丁版本都是向后兼容的,减少了给应用程序引入错误的风险。
由于大多数第三方库发布的热修复漏洞都是补丁版本的颠簸,至少启用自动补丁更新有助于降低安全风险。
4. 具备验证功能以避免注入病毒
作为一条经验法则,我们不应该只依赖客户端验证,因为攻击者可以根据需要改变它们。然而,通过对每个输入的验证,可以省略一些JavaScript注入。
例如,如果你在评论区输入带有引号的东西< script > </script/> ,这些引号将被替换成双引号 << scrip t>< /script>>。那么输入的JavaScript代码将不会被执行。这被称为跨网站脚本(XSS)。
同样地,还有一些其他常见的方法来进行JavaScript注入:
使用开发人员的控制台来插入或更改JavaScript。
在地址栏中输入 "javascript:SCRIPT"。
防止JS注入对保持你的应用程序的安全是很重要的。
就像我之前提到的,有验证的地方是防止它的一个方法。
例如,在保存任何输入到数据库之前,用 < ; 替换所有 < ,用 > ; 替换所有 >。
内容安全策略(CSP)是另一种避免恶意注入的方法。使用CSP是非常直接的,如下所示。
Content-Security-Policy: trusted-types;
Content-Security-Policy: trusted-types 'none';
Content-Security-Policy: trusted-types <policyName>;
Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates';
关于CSP的更多信息,请参考这些指南。
https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
5. 始终保持严格模式的开启
开启严格模式会限制你写不安全的代码。
此外,启用这种模式是很简单的。就像在你的JavaScript文件中加入下面这一行一样简单。
use strict
当严格模式开启时:
它对一些以前保持沉默的错误抛出了错误。
修正了使JavaScript引擎难以进行优化的错误。
禁止使用可能会在未来版本的ECMAScript中定义的保留词。
当采取 "不安全 "的行动(如获得对全局对象的访问)时抛出错误。
多年来,每个现代浏览器都支持严格模式。如果浏览器不支持严格模式,该表达式将被简单地忽略。
6. Lint Your Code
Linters对你的代码库进行静态分析。它有助于建立质量和避免常见的陷阱。
由于质量与安全是相辅相成的,检查有助于减少安全风险。
我们对JavaScript使用的几个流行的工具如下:
JSLint
JSHint
ESLint
此外,像SonarCloud这样的工具也可以用来识别代码气味和已知的安全漏洞。一份Sonar报告将看起来像这样。
注意:正如你在上图中看到的,它有一个安全部分,显示了漏洞、安全热点。
7. 简化和美化你的代码
攻击者通常会试图理解你的代码,以入侵他们的方式。
因此,在生产构建中拥有一个可读的源代码会增加攻击性。作为一种常见的做法,如果你对你的JavaScript代码进行最小化和丑化,就很难利用你编写的代码中的漏洞。
然而,如果你想采取极端的措施来隐藏你的代码,不被用户/客户发现,那么它应该被保存在服务器端,根本不需要发送到浏览器上。
最后
注重安全是非常重要的,特别是在JavaScript应用程序中,要使你的应用程序安全。
此外,如果你想寻求高级的解决方案。在这种情况下,有一些工具,如Snyk、WhiteSource,它们专门扫描你的代码中的漏洞,并通过连续的集成将其自动化。
面试交流群持续开放,分享了近 许多 个面经。
加我微信: DayDay2021,备注面试,拉你进群。
我是 TianTian,我们下篇见~
一道字节笔试题,没有想到考察的是....
JavaScript中延迟加载属性
几张动图带你回顾JS的变量提升
几张动图带你回顾event loop
看了就会的浏览器帧原理
2021年保护JavaScript的7个步骤相关推荐
- 2021 年最佳 JavaScript 框架
据 Stackoverflow 的 2021 年开发者调查,JavaScript 已连续第八年成为使用最多的语言,有 67.7% 的受访者选择它.之所以如此受欢迎,主要是因为 JavaScript 是 ...
- 逍遥安卓模拟器提示此设备未经Play保护机制认证解决方法步骤
描述:逍遥安卓模拟器提示此设备未经Play保护机制认证解决方法步骤 步骤: 打开逍遥安卓模拟多开器,删除环境,重新建一个环境 将手机设置为samsung或者google品牌手机即可
- java 调用js脚本_Java中使用JavaScript脚本的方法步骤
简介 Nashorn Nashorn 一个 javascript 引擎. 从JDK 1.8开始,Nashorn取代Rhino(JDK 1.6, JDK1.7)成为Java的嵌入式JavaScript引 ...
- 2021 年最佳 JavaScript 框架排名
微信搜索逆锋起笔关注后回复编程pdf 领取编程大佬们所推荐的 23 种编程资料! 作者 | Olivia Cuthbert 译者 | Sambodhi 策划 | 刘燕 据 Stackoverflow ...
- 如何保护javascript代码
HTML5应用采用的仍然是Javascript.HTML.CSS 等Web语言,因而其代码保护就是这些Web代码的保护,而HTML5应用主要功能一般采用JS实现,因此JS代码就成了保护重点.然而,似乎 ...
- 2021/12/14 nginx包下载安装步骤记录
==参考链接 mac10.15 安装nginx1.16(非brew方式)详细教程: https://blog.csdn.net/weixin_45560548/article/details/1056 ...
- JavaScript中创建对象的步骤
调用Object构造函数创建一个对象. 为这个对象添加属性和方法. 返回这个对象
- 2021年用于JavaScript开发的最佳IDE
每个开发人员都有自己喜欢的IDE.我也一样.(我将在本文的最后透露我个人最喜欢的内容
- 2021 年 JavaScript 大事记
大家好,我是 ConardLi,不知不觉中,2021 年已经接近尾声了,不知道在 2021 这一年,你收获了什么?又失去了什么呢? 又到了开始做年终总结的时候了,今天,我来给 JavaScript 做 ...
最新文章
- Linux之编辑器 vim
- 查看Linux发行版的名称和版本号
- 【Android 逆向】ART 脱壳 ( dex2oat 脱壳 | aosp 中搜索 dex2oat 源码 | dex2oat.cc#main 主函数源码 )
- c++ 解析xml文件
- Repeater控件里面取不到CheckBox的值
- springcloud篇面试宝典
- Xprinter XP-N160L 打印机驱动
- 角度换算数字在线计算机,角度换算成数字(计算器数字转角度换算)
- jsp外文期刊免费下载_外文期刊下载
- o2o、c2c、b2c、b2b、b2b2c都是什么?
- F. Equalize the Array
- 【AIX】AIX中级试题
- 浅谈单元测试之(一):单元测试的意义
- 如何实现从CTO到CEO的跨越(红色标注是我关注的点)
- Robot Framework 介绍
- javac, java非标准参数说明
- 高性能HTTP加速器Varnish-3.0.3搭建、配置及优化步骤
- CAD教程:CAD软件中如何进行CAD视口设置?
- amos 结构方程模型无法运行出来
- 看懂任正非访谈:真正的挑战,其实是我们的使命
热门文章
- Arduino+ESP8266驱动DS3231
- k8s selector_k8s nodeSelector
- 关于浏览器的选择 360浏览器 firefox chrome
- ERA5 积雪 降雪 区别_漠河迎入秋以来最大降雪 雪深超10厘米_媒体_澎湃新闻
- WX小程序demo示例
- Git 配置 user 信息
- css 实现单行文本两侧对齐
- 5G云游戏的到来是否会对单机游戏产生影响
- 某人想将手中的一张面值100元的人民币换成10元、5元、2元和1元面值的票子。要求换正好40张,目每种票子至少一张。问:有几种换法?使用JavaScript进行换算。
- 《AutoCAD全套园林图纸绘制自学手册》一第2章 AutoCAD 2013入门2.1 操作界面