番禺网站公司上海网站制作网

番禺网站公司,上海网站制作网,六安网站价格,网站建设推广合同1#xff0c;核心漏洞整改#xff1a;XSS#xff08;跨站脚本攻击#xff09;XSS 是前端最频发的漏洞#xff0c;核心是 “注入恶意脚本并执行”#xff0c;需从输入过滤、输出编码、执行限制三方面阻断解决 1 表单谁需要转义 2#xff0c;强制过滤URL参数比如Vue中 不使…1核心漏洞整改XSS跨站脚本攻击XSS 是前端最频发的漏洞核心是 “注入恶意脚本并执行”需从输入过滤、输出编码、执行限制三方面阻断解决 1 表单谁需要转义 2强制过滤URL参数比如Vue中 不使用V-html若需渲染富文本如编辑器内容推荐使用DOMPurify库限制脚本运行权限进允许自己域名加载脚本禁止内联避免使用eval()、new Function()、setTimeout(string)等可执行字符串的 API改用函数直接调用2 csrf前端需要拦截 自动添加csrfToken依赖包安全避免 “供应链攻击”比如lodash、jquery的历史漏洞需要手动重写常用的注意package-lock.json 需要锁定依赖重新提交时候需要严格筛选 进行安全扫描前端敏感数据不存在 内存接口方面不返回敏感数据 比如说密码 ID等X-Frame-Options 禁止签入 Frame