angular 最佳实践_Angular安全最佳实践

最新推荐文章于 2023-12-07 19:50:17 发布
最新推荐文章于 2023-12-07 19:50:17 发布
阅读量383 收藏 1
点赞数
文章标签: java python 安全 https
原文链接:https://medium.com/javascript-in-plain-english/angular-security-best-practices-54fadf8974a1
版权
本文介绍了Angular应用程序的安全最佳实践,包括如何保护用户数据、确保HTTPS连接等关键安全措施。
摘要由CSDN通过智能技术生成

angular 最佳实践

Angular is a popular front-end framework made by Google. Like other popular front-end frameworks, it uses a component-based architecture to structure apps.

Angular是Google制作的一种流行的前端框架。 与其他流行的前端框架一样,它使用基于组件的体系结构来构建应用程序。

In this article, we’ll look at some security best practices to follow when writing Angular apps.

在本文中,我们将研究编写Angular应用程序时应遵循的一些最佳安全性最佳实践。

防止跨站点脚本(XSS) (Preventing Cross-Site Scripting (XSS))

Cross-site scripting enables attackers to inject malicious code into web pages.

跨站点脚本使攻击者能够将恶意代码注入网页。

To prevent this, Angular sanitizes variables that are interpolated into templates.

为防止这种情况,Angular会清除插值到模板中的变量。

Angular templates are executable code, so any potentially malicious code snippets have to be sanitized.

Angular模板是可执行代码,因此必须清除所有潜在的恶意代码段。

Interpolation is sanitized but innerHtml is not. For example:

插值已被innerHtmlinnerHtml未被innerHtml 。 例如: 

<p>{{htmlSnippet}}</p>

is sanitized but:

已消毒,但: 

<p [innerHTML]="htmlSnippet"></p>

isn’t.

不是。

Therefore, we should be careful when we use innerHTML to prevent strings with script tag from executing.

因此,当我们使用innerHTML来防止执行带有script标签的字符串时,应该小心。

直接使用DOM API和显式清理调用 (Direct Use of the DOM APIs and Explicit Sanitization Calls)

Built-in DOM APIs don’t automatically protect us from security vulnerabilities.

内置的DOM API不会自动保护我们免受安全漏洞的侵害。

document , ElementRef all have unsafe methods. If we use them, we should run the DomSanitizer.sanitize method and the appropriate SecurityContext .

documentElementRef都有不安全的方法。 如果使用它们,则应运行DomSanitizer.sanitize方法和适当的SecurityContext

使用离线模板编译器 (Use the Offline Template Compiler)

We can use the offline template compiler in production environment to prevent template injection.

我们可以在生产环境中使用脱机模板编译器来防止模板注入。

信任安全价值观 (Trusting Safe Values)

We can trust safe values by using the DomSanitizer and call one of the following methods:

我们可以使用DomSanitizer信任安全值,并调用以下方法之一:

  • bypassSecurityTrustHtml

    bypassSecurityTrustHtml

  • bypassSecurityTrustScript

    bypassSecurityTrustScript

  • bypassSecurityTrustStyle

    bypassSecurityTrustStyle

  • bypassSecurityTrustUrl

    bypassSecurityTrustUrl

  • bypassSecurityTrustResourceUrl

    bypassSecurityTrustResourceUrl

to trust the code that’s being set dynamically.

信任动态设置的代码。

For example, we can write the following code to let us run JavaScript code in our href attribute:

例如,我们可以编写以下代码来让我们在href属性中运行JavaScript代码:

app.component.ts :

app.component.ts

import { Component } from "@angular/core";
import { DomSanitizer } from "@angular/platform-browser";@Component({
  selector: "app-root",
  templateUrl: "./app.component.html",
  styleUrls: ["./app.component.css"]
})
export class AppComponent {
  dangerousUrl;
  trustedUrl;
  constructor(private sanitizer: DomSanitizer) {
    this.dangerousUrl = 'javascript:alert("Hi")';
    this.trustedUrl = sanitizer.bypassSecurityTrustUrl(this.dangerousUrl);
  }
}

app.component.html :

app.component.html

<p><a class="e2e-trusted-url" [href]="trustedUrl">Click me</a></p>

When passing this.dangerousUrl into sanitizer.bypassSecurityTrustUrl , we trust that the code is safe.

this.dangerousUrl传递到sanitizer.bypassSecurityTrustUrl ,我们相信代码是安全的。

So, when we click Click me, then we see the alert box pop up since the JavaScript code isn’t sanitized.

因此,当单击“单击我”时,由于未清除JavaScript代码,因此我们会看到警告框弹出。

HTTP级漏洞 (HTTP-Level Vulnerabilities)

Angular has built-in support to help prevent 2 common HTTP vulnerabilities. cross-site request forgery (CSRF or XSRF) and cross-site scripting (XSS).

Angular具有内置支持,可帮助防止2个常见的HTTP漏洞。 跨站点请求伪造(CSRF或XSRF)和跨站点脚本(XSS)。

Cross-site request forgery is an attack where an attacker pretends to be a legitimate user and makes the request on behalf of that user.

跨站点请求伪造是一种攻击,攻击者伪装成合法用户,并代表该用户提出请求。

A common anti-CSRF technique is to send a randomly generated authentication token in a cookie. The client reads the cookie and adds a custom request header with the token in all subsequent requests.

常见的反CSRF技术是在Cookie中发送随机生成的身份验证令牌。 客户端读取cookie,并在所有后续请求中添加带有令牌的自定义请求标头。

The server compares the received cookie vale to the request header value and rejects the request if the values are missing or don’t match.

服务器将接收到的cookie值与请求标头值进行比较,如果这些值缺失或不匹配,则拒绝请求。

All browsers implement the same-origin policy. Only code from a website on which cookies are set can read the cookie and set custom headers on the site.

所有浏览器都实施同源策略。 只有来自设置了Cookie的网站的代码,才能读取Cookie并在网站上设置自定义标题。

Angular’s HTTP client can receive the cookie from the server and add the custom request header in all subsequent requests.

Angular的HTTP客户端可以从服务器接收cookie,并在所有后续请求中添加自定义请求标头。

Image for post
Photo by Rayner Simpson on Unsplash
雷纳·辛普森 ( Rayner Simpson)Unsplash拍摄的照片

跨站点脚本包含(XSSI) (Cross-Site Script Inclusion (XSSI))

This is a vulnerability that’s on older browsers by overriding native JavaScript object constructors and including an API URL using a script tag.

通过覆盖本机JavaScript对象构造函数并包括使用script标记的API URL,这是旧版浏览器中的漏洞。

It’s only successful if the JSON has executable JavaScript code.

仅当JSON具有可执行JavaScript代码时,它才会成功。

Angular’s HttpClient automatically strings brackets and parentheses from JSON to prevent this attack.

Angular的HttpClient自动从JSON中添加括号和括号,以防止这种攻击。

结论 (Conclusion)

Cross-site scripting attacks are where malicious scripts are injected into an app’s code and run.

跨站点脚本攻击是将恶意脚本注入到应用程序的代码中并运行的地方。

This is prevented by sanitizing strings. Angular also provides options to bypass sanitization.

这可以通过清理字符串来防止。 Angular还提供了绕过消毒的选项。

DOM methods aren’t safe and so we should be aware of that when using them directly.

DOM方法并不安全,因此我们在直接使用它们时应注意这一点。

Cross-sitre request forgery is where an attack makes requests as a legitimate user by pretending to be them.

跨站点请求伪造是攻击通过假装成为合法用户的方式发出的请求。

Angular’s HttpClient can read custom cookies from the server and send a request header with a unique identification that’s validated by the server to prevent this attack.

Angular的HttpClient可以从服务器读取自定义cookie,并发送带有服务器已验证的唯一标识的请求标头,以防止这种攻击。

We can prevent a Cross-Site Script Inclusion attack by sanitizing JSON to prevent executable JSON string from executing.

我们可以通过清除JSON来阻止执行可执行JSON字符串,从而防止跨站点脚本包含攻击。

JavaScript用纯英语的注释 (A note from JavaScript In Plain English)

We have launched three new publications! Show some love for our new publications by following them: AI in Plain English, UX in Plain English, Python in Plain English — thank you and keep learning!

我们推出了三本新出版物! 通过关注它们来表达对我们新出版物的热爱: 普通英语的AI,普通英语的 UX,普通英语的 Python -谢谢,继续学习!

We are also always interested in helping to promote quality content. If you have an article that you would like to submit to any of our publications, send us an email at submissions@plainenglish.io with your Medium username and we will get you added as a writer. Also let us know which publication/s you want to be added to.

我们也一直对帮助推广高质量的内容感兴趣。 如果您有文章要提交给我们的任何出版物,请给我们发送电子邮件至submittings@plainenglish.io 使用您的中等用户名,我们将把您添加为作家。 另外,请告诉我们您要添加到哪个出版物。

翻译自: https://medium.com/javascript-in-plain-english/angular-security-best-practices-54fadf8974a1

angular 最佳实践

weixin_26722031
关注
简洁高效的Angular最佳实践细节
alex_zjt的博客
08-11 470
1、trackBy 当使用ngFor循环模板中的数组时,将其与trackBy函数一起使用,该函数将为每个项返回唯一标识符。 当数组更改时,Angular会重新呈现整个DOM树。如果你使用trackBy,Angular将知道哪个元素已经改变,并且只会对该特定元素进行DOM更改。 例如: <li *ngFor=“let item of items”> {{item}} </...
angular 最佳实践_Angular最佳实践–简化Angular应用程序的开发
culing2941的博客
09-16 371
angular 最佳实践Making an Angular application is not enough. Keeping the code simple and well-maintained is equally important. For doing so, you need to stick to some of the Angular best practices. Not do...
AngularJS 最佳实践 - 转自:http://www.lovelucy.info/angularjs-best-practices.html
【昆山人在上海】
09-29 821
AngularJS 是一个 Web 应用框架,它实现了前端的 MVC 架构,能让开发人员很方便地实现业务逻辑。 举个栗子,要做到下面的效果,以前可能需要写一连串的 JavaScript 代码绑定 N 多事件。而使用 AngularJS 框架,一句 JavaScript 都不用写就能实现了,神奇吧?查看演示。 script type="text/jav
angular最佳实践
在路上
04-11 525
1、$scope: 在controller之中,write-only(只写 ) ; 在template中,read-only(只读) ; 2、用ng-bind代替 {{ expr }},bg-bind代替表达式; 3、ng-cloak 止闪烁,通过在头部样式声明 [ng-cloak] { display: none; } 4、ng-repeat中,如果数据有唯一标识id,用track b
angular 最佳实践_干净高效的Angular应用程序的最佳实践
cumian8165的博客
07-30 624
angular 最佳实践by Vamsi Vempati 由Vamsi Vempati 干净高效的Angular应用程序的最佳实践 (Best practices for a clean and performant Angular application) I have been working on a large scale Angular application at Trade Me...
遵循最新的最佳实践Angular项目集合
08-10
这个"遵循最新的最佳实践Angular项目集合"很可能是为了展示如何按照当前Angular的推荐方式来组织和开发应用。让我们深入探讨Angular最佳实践以及在这个项目集合中可能包含的内容。 1. **模块化**:在Angular中,...
cheatsheets-angular:关于Angular主要功能和最佳实践的演示存储库
04-03
该项目的发展以演示Angular历史为目标,并增加了新功能并提供了最佳实践。 吉特树 该存储库使用gitflow。 开发分支目前正在进行稳定的工作。 功能将从开发分支开始,如果要成为主要开发的一部分,则将其关闭。 ...
Heroes_API:Angular_tutorial_API
04-24
8. **最佳实践**:教程可能还会涵盖API设计的最佳实践,如错误处理、状态管理、API版本控制等,以帮助开发者构建健壮且易于维护的API。 通过这个教程,学习者不仅可以掌握Angular和REST API的基本概念,还能了解...
angular_sample_app:开始创建Angualr js应用
05-20
总的来说,"angular_sample_app"项目是一个学习和实践Angular JS应用开发的良好起点,涵盖了从基础概念到高级特性的多个方面,包括MVC架构、指令、数据绑定、服务、路由、模块化以及测试等。通过这个项目,开发者...
AngularSecurity:AngularJs前端安全
05-18
Angular Security Manager(基于前端角色) 在很多情况下,我们必须在前端隐藏/显示一些代码,因此,为了做到这一点,我只写了一个 Module 。 是的,它的前端安全性并不意味着我们无需在后端实施安全性就可以向未经授权的用户隐藏数据。 我是怪胎,所以我赋予了本质。 我们来看一下: 基本的有用功能列表: 基于角色的ui-router state安全性。 具有指定tag html (<authorize></authorize>)基于角色的内容安全性。 可配置模块。 我是Java的Spring框架狂,所以我尝试创建一个标记(伪指令)以使诸如按钮,菜单或其他html内容之类的html内容在前端显示/隐藏,尽管这并不完全安全。 ,我们也必须在后端对数据实施安全性。 要求 您的应用程序必须具有以下依赖关系: 作为路由引擎。 或(建议使用 )。 下载 您可以从b
angular_best_practices:具有可维护性最佳实践angular 10应用程序
03-02
Angular最佳实践 该项目是使用版本10.0.8生成的。 开发服务器 为开发服务器运行ng serve 。 导航到http://localhost:4200/ 。 如果您更改任何源文件,该应用程序将自动重新加载。 代码脚手架 运行ng generate component component-name生成一个新的组件。 您还可以使用ng generate directive|pipe|service|class|guard|interface|enum|module 。 建造 运行ng build来构建项目。 构建工件将存储在dist/目录中。 使用--prod标志进行生产构建。 运行单元测试 运行ng test以通过执行单元测试。 运行端到端测试 运行ng e2e通过执行端到端测试。 进一步的帮助 要获得有关Angular CLI的更多帮助,请使用ng help或查看 。
【荐】Angular 最佳实践
野草园
08-30 2004
推荐文章 Armen Vardanyan : Angular: Best Practices 推荐理由 作者根据自身的项目实践,总结出了一些Angular最佳实践。主要包涵了TypeScript类型的最佳使用,组件的合理使用,通用服务的封装,模版的合理定义。
AngularX 路由最佳实践
来啊 快活啊
06-02 840
前端组件化之后,就牵扯到组件的路由问题,那我们希望一个比较完美的实现是这样的:主模块管理到各个子模块的路由信息,子模块管理自己的路由信息,子模块在被访问到的时候再加载。下面看一下angularx是怎么实现这个思路的。首先在主模块定义到子模块的路由信息,设置子模块的懒加载用loadChildren配置。如下:@NgModule({ imports: [ RouterModule
Angular开发】Angular:2023年最佳实践
最新发布
全网:架构师研究会
12-07 1336
Angular是一个功能强大且被广泛采用的用于构建web应用程序的框架。随着我们进入2023年,必须跟上最佳实践,以确保您的Angular项目高效、可维护和高性能。在本文中,我们将探讨2023年充分利用Angular的一些最佳实践,并提供示例。
2021年的Angular最佳实践
寒冰屋的专栏
03-14 818
Angular由Google开发人员使用TypeScript构建,是一个开源JavaScript框架,旨在构建前端应用程序。 Angular 2+是Angular.js的继承者,使用TypeScript而不是JavaScript从头开始​​重写,这有助于避免许多与JavaScript相关的问题,并确保遵循最佳实践以及与IDE的集成,这要归功于静态类型和TypeScript中基于类的面向对象特性。 Angular不仅仅是一个框架,而是一个完整的平台,其中包含使前端Web和移动开发更易于管理的功能。此外,由
Angular 2 – 提升水平的最佳实践
陈建慧程序人生
02-13 2597
Angular 2 正在全世界范围流传并且变得越来越受欢迎,因此越来越多的人开始学习并使用它。然而,不论你是编程专家还是初学者,当你使用 Angular 2 时,这里有一些你应该遵循的基本指导原则和实践准则。 我收集了 12 条最佳实践与技巧来帮助你写出更好和更清晰的代码。 请注意 :如果你刚接触这个话题,你应该阅读由官方社区与核心贡献者驱动的官方 Angular 风格指南 (最佳实践
Angular使用及其安全问题分析
devil8123665的博客
12-03 412
https://blog.csdn.net/wenrennaoda/article/details/89885722 1、逃逸Payload Angular通过“{{expression}}”来作为输出的标志,而对于双括号里面的内容Angular会计计算并输出结果。然而Angular模板表达式会经过沙箱验证,例如:1)不允许使用Function对象;2)不允许使用window对象;3)不允许使用dom对象;4)不允许使用Object对象;5)对obj对象的constructor进行检查,确保其...
Spring Security and Angular
大强博客
07-06 2431
Spring Security and AngularA Secure Single Page ApplicationIn this tutorial we show some nice features of Spring Security, Spring Boot and Angular working together to provide a pleasant and secure use...
"Angular规范及最佳实践指南
Angular规范及相关实践是一个关于Angular开发规范和最佳实践的培训课程。该课程包含了一份名为"Angular规范及相关实践"的幻灯片演示文稿,旨在帮助开发人员遵循一套规范的命名约定和最佳实践,以提高代码的可读性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值