亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

保護JavaScript的步驟有哪些

發布時間:2021-09-14 15:47:38 來源:億速云 閱讀:131 作者:柒染 欄目:web開發

保護JavaScript的步驟有哪些,針對這個問題,這篇文章詳細介紹了相對應的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

正文

今天,JavaScript的使用無處不在。它在你的瀏覽器和后端運行。

此外,JavaScript是一個高度依賴第三方庫的生態系統。因此,確保JavaScript的安全需要遵循最佳實踐來減少攻擊。但是,我們如何保持JavaScript應用程序的安全?讓我們來了解一下。

1. JavaScript的完整性檢查

作為一個前端開發者,你可能已經使用**< script  >**標簽來導入第三方庫。你想過這樣做的安全風險嗎?如果第三方資源被篡改了怎么辦?是的,當你在你的網站上渲染外部資源時,這些事情都可能發生。因此,你的網站可能會面臨一個安全漏洞。作為對此的安全措施,你可以在你的腳本中添加一個完整性(也稱為子資源完整性--SRI)代碼,如下所示。

<script   src="https://code.jquery.com/jquery-3.3.1.slim.min.js"   integrity="sha384-q8i/X+965DzO0rT7abK41JStQIAqVgRVzpbzo5smXKp4YfRvH+8abtTE1Pi6jizo"   crossorigin="anonymous"> </script>

完整性屬性允許瀏覽器檢查獲取的腳本,以確保如果源頭被篡改,代碼永遠不會被加載。

  • 注意:還是要確保你最初引用的代碼不包含任何漏洞。

2. 經常測試NPM的漏洞

我希望你們都知道,我們可以使用npm audit 命令來檢測所有安裝的依賴關系的漏洞。它提供漏洞報告,并為它們提供修復。

但你多長時間做一次呢?

除非我們把它自動化,否則這些漏洞會堆積起來,使之難以修復。記住,其中一些甚至可能是關鍵的,允許嚴重的漏洞。作為一個解決方案,你可以在你的CI中為每個拉動請求運行NPM來識別漏洞。因此,你可以防止任何漏洞不被注意到。

保護JavaScript的步驟有哪些

NPM audit security  report example

然而,有一些漏洞需要開發人員的手動干預才能解決。

GitHub的一個額外舉措

最近,GitHub推出了一個名為Dependabot的機器人,自動掃描NPM的依賴關系,并通過電子郵件通知你,說明風險。

保護JavaScript的步驟有哪些

One such email I have  gotten for one of my projects

3. 保持次要和補丁版本更新

你有沒有見過任何NPM軟件包版本前面的^或~符號?

這些符號表示對次要版本和補丁版本(取決于符號)的自動版本提升。從技術上講,次要版本和補丁版本都是向后兼容的,減少了給應用程序引入錯誤的風險。

由于大多數第三方庫發布的熱修復漏洞都是補丁版本的顛簸,至少啟用自動補丁更新有助于降低安全風險。

4.  具備驗證功能以避免注入病毒

作為一條經驗法則,我們不應該只依賴客戶端驗證,因為攻擊者可以根據需要改變它們。然而,通過對每個輸入的驗證,可以省略一些JavaScript注入。

例如,如果你在評論區輸入帶有引號的東西< script > ,這些引號將被替換成雙引號 << scrip  t>< /script>>。那么輸入的JavaScript代碼將不會被執行。這被稱為跨網站腳本(XSS)。

同樣地,還有一些其他常見的方法來進行JavaScript注入:

  • 使用開發人員的控制臺來插入或更改JavaScript。

  • 在地址欄中輸入 "javascript:SCRIPT"。

保護JavaScript的步驟有哪些

防止JS注入對保持你的應用程序的安全是很重要的。

就像我之前提到的,有驗證的地方是防止它的一個方法。

例如,在保存任何輸入到數據庫之前,用 < ; 替換所有 < ,用 > ; 替換所有 >。

內容安全策略(CSP)是另一種避免惡意注入的方法。使用CSP是非常直接的,如下所示。

Content-Security-Policy: trusted-types; Content-Security-Policy: trusted-types 'none'; Content-Security-Policy: trusted-types <policyName>; Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates';

關于CSP的更多信息,請參考這些指南。

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

5. 始終保持嚴格模式的開啟

開啟嚴格模式會限制你寫不安全的代碼。

此外,啟用這種模式是很簡單的。就像在你的JavaScript文件中加入下面這一行一樣簡單。

use strict

當嚴格模式開啟時:

  • 它對一些以前保持沉默的錯誤拋出了錯誤。

  • 修正了使JavaScript引擎難以進行優化的錯誤。

  • 禁止使用可能會在未來版本的ECMAScript中定義的保留詞。

  • 當采取 "不安全 "的行動(如獲得對全局對象的訪問)時拋出錯誤。

  • 多年來,每個現代瀏覽器都支持嚴格模式。如果瀏覽器不支持嚴格模式,該表達式將被簡單地忽略。

6. Lint Your Code

Linters對你的代碼庫進行靜態分析。它有助于建立質量和避免常見的陷阱。

由于質量與安全是相輔相成的,檢查有助于減少安全風險。

我們對JavaScript使用的幾個流行的工具如下:

  • JSLint

  • JSHint

  • ESLint

此外,像SonarCloud這樣的工具也可以用來識別代碼氣味和已知的安全漏洞。一份Sonar報告將看起來像這樣。

保護JavaScript的步驟有哪些

注意:正如你在上圖中看到的,它有一個安全部分,顯示了漏洞、安全熱點。

7. 簡化和美化你的代碼

攻擊者通常會試圖理解你的代碼,以入侵他們的方式。

因此,在生產構建中擁有一個可讀的源代碼會增加攻擊性。作為一種常見的做法,如果你對你的JavaScript代碼進行最小化和丑化,就很難利用你編寫的代碼中的漏洞。

然而,如果你想采取極端的措施來隱藏你的代碼,不被用戶/客戶發現,那么它應該被保存在服務器端,根本不需要發送到瀏覽器上。

注重安全是非常重要的,特別是在JavaScript應用程序中,要使你的應用程序安全。

此外,如果你想尋求高級的解決方案。在這種情況下,有一些工具,如Snyk、WhiteSource,它們專門掃描你的代碼中的漏洞,并通過連續的集成將其自動化。

關于保護JavaScript的步驟有哪些問題的解答就分享到這里了,希望以上內容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關注億速云行業資訊頻道了解更多相關知識。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

调兵山市| 闻喜县| 清远市| 东阿县| 秦安县| 桃园市| 米泉市| 茂名市| 景洪市| 德保县| 颍上县| 庆阳市| 阜宁县| 乐都县| 饶河县| 金沙县| 西丰县| 东源县| 若尔盖县| 霍邱县| 辉县市| 准格尔旗| 利川市| 嘉黎县| 泽库县| 祁连县| 呼图壁县| 三都| 吴忠市| 普兰县| 开平市| 滕州市| 山阴县| 汉沽区| 营山县| 隆回县| 额济纳旗| 秀山| 栾川县| 康保县| 靖远县|