Dalam Bahagian 1, kami merangkumi konsep keselamatan bahagian hadapan asas untuk membantu anda memahami kelemahan biasa seperti XSS, CSRF dan Clickjacking. Dalam siaran ini, kami akan menyelidiki teknik praktikal dan praktikal untuk melindungi aplikasi bahagian hadapan anda daripada ancaman ini dan ancaman lain. Kami akan meneroka topik penting seperti mengurus kebergantungan pihak ketiga, membersihkan input, menyediakan Dasar Keselamatan Kandungan (CSP) yang teguh dan mendapatkan pengesahan pihak pelanggan.
Aplikasi web moden sangat bergantung pada perpustakaan pihak ketiga, selalunya memperkenalkan risiko daripada pakej yang tidak selamat atau ketinggalan zaman. Pengurusan pergantungan memainkan peranan penting dalam keselamatan bahagian hadapan dengan mengurangkan risiko serangan yang mengeksploitasi kelemahan kod pihak ketiga.
Pakej Pengauditan: Alat seperti audit npm, Snyk dan Dependabot mengimbas kebergantungan secara automatik untuk mencari kelemahan, memaklumkan anda tentang isu kritikal dan menyediakan pembetulan yang disyorkan.
Mengunci Versi Ketergantungan: Tentukan versi yang tepat untuk kebergantungan dalam package.json atau fail kunci (seperti package-lock.json) untuk mengelakkan kemas kini yang tidak diingini yang mungkin memperkenalkan kelemahan.
Kemas Kini Biasa: Tetapkan jadual untuk mengemas kini kebergantungan dan audit untuk kelemahan, memastikan anda menggunakan versi terbaharu dan paling selamat.
Pengesahan input dan sanitasi data ialah amalan penting untuk melindungi aplikasi anda daripada pelbagai serangan suntikan, terutamanya XSS.
Mencuci Input Pengguna: Gunakan perpustakaan seperti DOMPurify untuk membersihkan HTML, menanggalkan sebarang kod hasad daripada input pengguna sebelum ia dipaparkan pada halaman.
Ciri Keselamatan Khusus Rangka Kerja: Banyak rangka kerja moden, seperti React dan Angular, disertakan dengan perlindungan terbina dalam terhadap XSS dengan melepaskan pembolehubah secara automatik. Walau bagaimanapun, berhati-hati dengan kaedah seperti dangerouslySetInnerHTML dalam React dan sentiasa bersihkan sebelum menggunakan HTML mentah.
Pengesahan Bahagian Pelayan: Lengkapkan pengesahan pihak klien dengan pengesahan bahagian pelayan untuk memastikan integriti dan keselamatan data merentas kedua-dua lapisan.
Contoh dengan DOMPurify dalam JavaScript:
import DOMPurify from 'dompurify'; const sanitizedInput = DOMPurify.sanitize(userInput);Salin selepas log masuk
Satu Dasar Keselamatan Kandungan (CSP) ialah alat berkuasa yang mengehadkan tempat sumber seperti skrip, imej dan helaian gaya boleh dimuatkan, mengurangkan risiko serangan XSS dengan ketara.
Define Directives: Use CSP directives to specify trusted sources for scripts, styles, and other resources. For example, script-src 'self' https://trusted-cdn.com limits script sources to your domain and the trusted CDN.
Testing and Refining CSP: Start by setting the CSP in report-only mode to detect any violations without enforcing the policy. Once confirmed, apply the policy in enforcement mode.
Example CSP Header:
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com;Salin selepas log masuk
Apply CSP in your web server configuration, such as through HTTP headers or tags. This will enforce resource loading restrictions for browsers accessing your application.
Authentication and authorization are essential for controlling access and ensuring data security on the client side.
Use Secure Tokens: Session tokens and JSON Web Tokens (JWTs) should be securely stored (often in HttpOnly cookies to prevent JavaScript access) and encrypted for sensitive operations.
Configure CORS Properly: Cross-Origin Resource Sharing (CORS) restricts which domains can access your API. Configure CORS headers to allow only trusted origins, using strict methods and credentials configurations.
Role-Based Access Control (RBAC): Implement RBAC on both the client and server to control which users can access certain resources and functionality, reducing the risk of unauthorized actions.
By following these practical steps, you’re taking significant strides toward a secure frontend. Securing dependencies, sanitizing input, applying CSP, and using secure tokens are vital measures for any modern application. In Part 3, we’ll look at advanced frontend security techniques, including refining CSP further, securely handling sensitive data, and using security tools for auditing and testing.
Atas ialah kandungan terperinci Bahagian : Langkah Praktikal untuk Selamatkan Aplikasi Frontend. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
