[2017专题] 前端安全

过往专题搬运。

前端安全

开发视角

• 反击爬虫，前端工程师的脑洞能够有多大？

预防竞争对手用爬虫进行的信息抓取，咱们除了能够在后端进行图灵测试，也能够前端在 DOM 处作手脚来混淆爬虫。

• 前端防护之 CSP 详解

针对 XSS 的前端防护，本文做者介绍了 CSP 的做用与绕过方式，最后给出结论：黑名单配合 CSP 仍然是最靠谱的防护方式。

• 点击劫持小抄

介绍了预防点击劫持的多个方案汇总。

• XSS CookBook

介绍了 XSS 的3个分类与21个详细案例。

• 如何利用/防护 Service Worker

本文介绍了 Service Worker 带来的风险：XSS持久化、新型Flash攻击、SW缓存劫持，并介绍了基本防护思路。

• How Can I Use Css In Js Securely

CSS in JS 的方案带来了开发便利的同时，也带来了被注入的可能，本文总结了安全使用之道。

黑客视角

• Web 渗透测试常规套路

本篇文章是有关 web 渗透的科普，安全攻防突飞猛进，但其中涉及的思想不会过期。

• 渗透测试向导：子域名枚举技术

本文介绍了经过搜索引擎、第三方 DNS 数据库、证书服务器、字典爆破、排列置换等方式来枚举一个域名下子域名。

• 浏览器漏洞挖掘思路

这篇文章介绍浏览器漏洞挖掘，包括关注更新、枚举旧漏洞、寻找字符集漏洞与第三方库漏洞等。

• 我如何在7分钟内黑入40个网站

本文是做者黑入一台有40个网站的服务器的过程，介绍了完善的入侵思路。（墙外）