【常见漏洞处理经验】可以是哪些?
发布于 3 个月前 作者 p2227 332 次浏览 来自 问答

这是一个前端职位招聘要求项

我的理解,前端最经常见的漏洞就是XSS和CSRF了 然后说“漏洞的处理”我的理解就是“防”, 然后“防”可以分两种情况, 一种是没有事,但做好各种防御,例如使用白名单过滤等,这些有现成的框架 https://github.com/leizongmin/js-xss 一种是有人攻击,然后处理。这件事情上前端的经验怎么也多不过运维吧。

然后假如不说“防”那就是“攻”了,但是这会涉及价值观的问题,参考月饼门事件,似乎不适宜讲。

然后还有非前端的漏洞,可以是有哪些,结合现在node做后台的情况的话。

大家说一下,针对这个要求,可以说出自己的哪些事项?

2 回复

比如表单重复提交这类是肯定需要的吧;XSS现在的网站一般都做的挺好的,很多数据库驱动层都提供了escape,至于CSRF花样太多,防的手段也很多,好像也没有百分百有效的方法,hash-token能满足绝大多数需求吧

@DevinXian 哦,可以是一些逻辑漏洞,你提醒我了,确实。

回到顶部