项目安全知识

最新推荐文章于 2023-05-26 00:56:46 发布
最新推荐文章于 2023-05-26 00:56:46 发布
阅读量165 收藏
点赞数 1
分类专栏: 前端 安全 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_38798835/article/details/107472616
版权

跨站脚本攻击(Cross Site Scripting)

说明:是最常见的攻击 WEB 网站方法,攻击者通过注入非法的 html 标签或者 javascript 等代码,从而控制用户浏览器。

防御:

  1. 在 cookie 中设置 HttpOnly 属性后,js脚本将无法读取到 cookie 信息
  2. 对用户输入的数据进行检查过滤
  3. 显示时,将脚本类特殊字符转换成文本显示

跨站请求伪造(Cross Site Request Forgeries)

说明:冒充用户发起请求(在用户不知情的情况下), 完成一些违背用户意愿的事情

防御:

  1. 强制交互:通过验证码等手段要求用户必须与应用进行交互,才能完成最终请求
  2. token 验证机制
  3. 使用post方法进行请求
  4. 服务器限制特定请求来源

点击劫持(ClickJacking)

说明:大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,触发点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;

防御:

  1. 设置X-Frame-Options,可选的值有:

DENY:浏览器会拒绝当前页面加载任何frame页面;

SAMEORIGIN:frame页面的地址只能为同源域名下的页面;

ALLOW-FROM origin:允许frame加载的页面地址

      2. 防御图片覆盖攻击,需要做到对用户输入的数据进行过滤

 

betty_grant
关注
专栏目录
项目施工安全教育培训制度
12-24
- **安全知识教育**:要求对管理人员进行定期培训,新员工和工人需接受不同级别的安全教育,内容涵盖施工管理、工艺、危险区域、安全防护用品使用等基本知识。 - **安全技能教育**:强调每个员工应具备本工种或本...
工程项目安全管理制度.pdf
03-09
安全教育考核制度涉及对员工的安全教育和考核,以提高工人对安全知识的理解和操作技能。教育内容包括危险设备、区域防护、个人防护和消防设施等方面的知识。新工人必须接受三级安全教育,特殊工种的人员需接受专门的...
项目安全生产管理规章制度汇编
06-22
安全教育培训制度和班前安全活动制度强调了对员工的安全教育和培训,提高他们的安全意识和技能,确保每位员工在上岗前具备必要的安全知识。特种作业人员安全治理制度则针对特殊工种,规定了资格认证、操作规程及定期...
公司工程项目安全生产策划书
06-23
### 公司工程项目安全生产策划书知识点解析 #### 第一章 编制依据 - **引用标准文件**:这部分强调了安全生产策划书所依据的主要法律法规、规范标准及其内部规章制度。其中包括了国家级法律法规如《中华人民共和国...
前端开发工具集
betty_grant的博客
10-12 7043
在线编程 1. StackBlitz StackBlitz将大家最常用的IDE Visual Studio Code 搬进了浏览器。除此以外,StackBlitz快速配置 Angular、React、Ionic、TypeScript、RxJS、Svelte等各类的JavaScript框架。有了它,只需几秒就可以开始写代码了。 2. CodePen CodePen 的界面很简洁,三个编辑器和一个预览容器,并且预览效果会实时更新 3.CodeSandbox 4.Jsfiddle 5.Jsbi...
egg-sequelize关联查询三种方法
betty_grant的博客
07-21 2033
1. 在Service里定义关联查询 import { Service } from 'egg'; export default class sroceService extends Service { /* * 分页查询 */ public async findSorce(query, page) { let { ctx } = this ctx.model.TSorce.belongsTo(ctx.model.TUser, {
Web多端适应原理与方案详解
betty_grant的博客
10-14 1621
1.概念 1.1.屏幕指标 物理上,一个屏幕是有尺寸、像素分辨率和密度指标的。如上图所示。其中显示的1920*1080是水平像素数*垂直像素数,ppi即是每英寸像素数。 1.2.CSS像素 px是CSS像素的基本单位,不同于硬件上的物理像素,CSS像素是逻辑像素。在谈论CSS像素时一定要清楚它的上下文: 标准的屏幕像素密度下,1个css像素对应一个物理像素。 对于高屏幕像素密度,就会存在1个css像素对应多个物理像素的情况。因此,将物理像素/css像素的比值称为设备像素比(dpr)。...
Echarts系列——多折线图
betty_grant的博客
04-07 1068
Echarts5 支持使用dataset,使用dataset来设置数据。 <template> <div id="chartLine" class="chart"></div> </template> <script> /* 基础折线图,需要dataset:source、dimensions */ export default { props: { config: { type: Object, def
MQTT.js前端使用手册
最新发布
betty_grant的博客
05-26 942
的客户端库,使用 JavaScript 编写,主要用于 Node.js 和 浏览器环境中。是目前 JavaScript 生态中使用最为广泛的。MQTT.js广泛用于在线协同、长轮询等,需要WebSocket 网络协议的 实时的,频繁的,长时间响应的业务场景。1. 定义主题,其中分为:推送的具体主题名、订阅的主题名(可以使用+或#实现通配配置)2. 消息使用方式分为:(1)通过事件监听,调用方法。(2)直接获取并使用数据。MQTT.js主要是使用以下服务。
前端:Monorepo手册
betty_grant的博客
02-20 854
onoRepoMonoRepo 是一种将多个项目代码存储在一个仓库里的软件开发策略(mono 意为单一,repo 意为 仓库)。与之相对的是另一种流行的代码管理方式 MultiRepo,即每个项目对应一个单独的仓库来分散管理。
JavaScript 获取dom位于文档的坐标
betty_grant的博客
10-09 828
//获取element的x坐标 function getElementLeft(element){ var actualLeft = element.offsetLeft; var current = element.offsetParent; while (current !== null){ actualLeft += current.offsetLeft; current = current.offsetParent; } re.
JavaScript转码和解码知识
betty_grant的博客
08-17 763
转码 encodeURI 不会对下列字符转码 ASCII字母 数字 ~!*()'@#$&*=:/,;?+ 应用场景:对整个url进行转码 encodeURIComponent 不会对下列字符转码 ASCII字母 数字 ~!*()' 应用场景:对url的某个部分禁止转码 escape 不会对下列字符转码 ASCII字母 数字 @*/+ 应用场景:对单纯的字符串进行转码 解码 decodeURI:为encodeURI对应得解码方法 encodeURIComponent
一次讲清JavaScript的原型知识
betty_grant的博客
12-11 725
1.概念 实例对象、构造对象、原型对象 Javascript里将对象分为实例对象和构造对象,而构造对象都包含一个原型对象,可以通过属性prototype访问。对象可以通过属性constructor访问其构造对象,通过属性__proto__访问其构造对象的原型对象。实例对象、构造对象、原型对象三者的关系,如图所示: 原型链 一个实例对象通过(__proto__ )指向它的构造对象的原型对象。该原型对象也有一个自己的原型对象,层层向后直到null,构成了最终的原型链。 创建对象 在ES6之后的.
Vue自定义指令——实现一键复制
betty_grant的博客
06-21 717
实现 clipboard.js const clipboard = { install(Vue, options) { Vue.directive('clipboard', { inserted(el, binding, vnode) { el.addEventListener('click', () => { let text; if.
原生JavaScript实现拖拽功能
betty_grant的博客
07-22 631
实现 (function(window, document){ var x=0,y=0,element; window.startDarg = function(targeId){ element= document.getElementById(targeId).bind(document); element.attachEvent("onmousedown", mousedownFun) } function mousedownFun
Element Ui DatePicker显示周数
betty_grant的博客
07-26 539
elementui日历上竟然没有显示周次的功能。于是自己在源码上改进了下,具体代码参考https://github.com/betty-chan/element 显示效果如下: 因为elementui已不再维护,如果需要引入自己修改后的element可以通过上传npm或者使用我打包后的github项目。 使用github项目需要配置package.json如下 "dependencies": { "element-ui":"git+https://github.com/be...
浅谈 TypeScript 类型系统
betty_grant的博客
03-03 500
讲到TypeScript一定离不开它的类型系统,强类型约束是对原本弱类型的JavaScript的补充。而相对Java、C#等后端语言的标明类型系统(Nominal Type System),TypeScript采用的是结构类型系统(Structural Type System)。标明类型系统比较的是类型本身,具备非常强的一致性要求。结构类型系统比较的并不是类型定义本身,而是类型定义的形状。 高级类型 type Point = { x: number; y: number; }; type N
js实现json转excel的npm包
betty_grant的博客
11-11 430
GitHub地址:https://github.com/betty-chan/jsonToExcel npm地址:https://www.npmjs.com/package/covert-json-to-excel 安装 npm i covert-json-to-excel 使用 import Json2excel from "covert-json-to-excel" let data = [ {name:"张三",age:"34"}, {name:"李四",age:"21
建筑项目负责人安全知识测试
试卷旨在测试项目负责人的安全知识和管理水平。" 详细说明: 1. 安全生产费用的用途: 单位的安全生产费用主要用于购买施工安全防护用具、安全设施更新和安全施工措施的落实,不能用于职工安全事故的赔偿。 2. 安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值