[2017专题] 前端安全

过往专题搬运。

前端安全

开发视角

• 反击爬虫，前端工程师的脑洞可以有多大？

预防竞争对手用爬虫进行的信息抓取，我们除了可以在后端进行图灵测试，也可以前端在 DOM 处做手脚来混淆爬虫。

• 前端防御之 CSP 详解

针对 XSS 的前端防御，本文作者介绍了 CSP 的作用与绕过方式，最后给出结论：黑名单配合 CSP 仍然是最靠谱的防御方式。

• 点击劫持小抄

介绍了预防点击劫持的多个方案汇总。

• XSS CookBook

介绍了 XSS 的3个分类与21个详细案例。

• 如何利用/防御 Service Worker

本文介绍了 Service Worker 带来的风险：XSS持久化、新型Flash攻击、SW缓存劫持，并介绍了基本防御思路。

• How Can I Use Css In Js Securely

CSS in JS 的方案带来了开发便利的同时，也带来了被注入的可能，本文总结了安全使用之道。

黑客视角

• Web 渗透测试常规套路

本篇文章是有关 web 渗透的科普，安全攻防日新月异，但其中涉及的思想不会过时。

• 渗透测试向导：子域名枚举技术

本文介绍了通过搜索引擎、第三方 DNS 数据库、证书服务器、字典爆破、排列置换等方式来枚举一个域名下子域名。

• 浏览器漏洞挖掘思路

这篇文章介绍浏览器漏洞挖掘，包括关注更新、枚举旧漏洞、寻找字符集漏洞与第三方库漏洞等。

• 我如何在7分钟内黑入40个网站

本文是作者黑入一台有40个网站的服务器的过程，介绍了完善的入侵思路。（墙外）