安全意识养成
1、关注安全威胁
除了这个专栏讲解XSS、CSRF、iframe安全问题、JSONP劫持其他的安全也需要关注
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。
对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。
其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。
https://owasp.org/www-project-top-ten/
2、编写安全的代码
- 严格对输入框内容进行格式匹配,过滤
- 对渲染到页面的数据进行白名单验证
- 对所有渲染的链接进行过滤验证
- 不用js已经废除的语法例如:eval
- 安全使用cookie
- 安全使用iframe
- 数据加密
3、安全的使用框架、库、模块
- 选择稳定版中最新的
- 选择成熟安全经过广泛安全测试审核的框架
- 正确的按照框架的语法去写
- 利用检测工具对其他库,模块进行检测
- 如果发现漏洞定期升级
4、做好安全的相关提示
- 跳转第三方安全提示
- 公共场合wifi提示
- 输入密码前的安全提示
- 输入错密码的短信邮件提示
- 个人信息的加密展示