文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

2021年保护JavaScript的7个步骤

2024-12-03 04:46

关注

大家好,我是TianTian。

今天分享的内容是如何保护JavaScript的安全性。

正文

今天,JavaScript的使用无处不在。它在你的浏览器和后端运行。

此外,JavaScript是一个高度依赖第三方库的生态系统。因此,确保JavaScript的安全需要遵循最佳实践来减少攻击。但是,我们如何保持JavaScript应用程序的安全?让我们来了解一下。

1. JavaScript的完整性检查

作为一个前端开发者,你可能已经使用**< script >**标签来导入第三方库。你想过这样做的安全风险吗?如果第三方资源被篡改了怎么办?是的,当你在你的网站上渲染外部资源时,这些事情都可能发生。因此,你的网站可能会面临一个安全漏洞。作为对此的安全措施,你可以在你的脚本中添加一个完整性(也称为子资源完整性--SRI)代码,如下所示。

  1.   src="https://code.jquery.com/jquery-3.3.1.slim.min.js" 
  2.   integrity="sha384-q8i/X+965DzO0rT7abK41JStQIAqVgRVzpbzo5smXKp4YfRvH+8abtTE1Pi6jizo" 
  3.   crossorigin="anonymous"
  4.  

完整性属性允许浏览器检查获取的脚本,以确保如果源头被篡改,代码永远不会被加载。

2. 经常测试NPM的漏洞

我希望你们都知道,我们可以使用npm audit 命令来检测所有安装的依赖关系的漏洞。它提供漏洞报告,并为它们提供修复。

但你多长时间做一次呢?

除非我们把它自动化,否则这些漏洞会堆积起来,使之难以修复。记住,其中一些甚至可能是关键的,允许严重的漏洞。作为一个解决方案,你可以在你的CI中为每个拉动请求运行NPM来识别漏洞。因此,你可以防止任何漏洞不被注意到。

NPM audit security report example

然而,有一些漏洞需要开发人员的手动干预才能解决。

GitHub的一个额外举措

最近,GitHub推出了一个名为Dependabot的机器人,自动扫描NPM的依赖关系,并通过电子邮件通知你,说明风险。

One such email I have gotten for one of my projects

3. 保持次要和补丁版本更新

你有没有见过任何NPM软件包版本前面的^或~符号?

这些符号表示对次要版本和补丁版本(取决于符号)的自动版本提升。从技术上讲,次要版本和补丁版本都是向后兼容的,减少了给应用程序引入错误的风险。

由于大多数第三方库发布的热修复漏洞都是补丁版本的颠簸,至少启用自动补丁更新有助于降低安全风险。

4. 具备验证功能以避免注入病毒

作为一条经验法则,我们不应该只依赖客户端验证,因为攻击者可以根据需要改变它们。然而,通过对每个输入的验证,可以省略一些JavaScript注入。

例如,如果你在评论区输入带有引号的东西< script > ,这些引号将被替换成双引号 << scrip t>< /script>>。那么输入的JavaScript代码将不会被执行。这被称为跨网站脚本(XSS)。

同样地,还有一些其他常见的方法来进行JavaScript注入:

防止JS注入对保持你的应用程序的安全是很重要的。

就像我之前提到的,有验证的地方是防止它的一个方法。

例如,在保存任何输入到数据库之前,用 < ; 替换所有 < ,用 > ; 替换所有 >。

内容安全策略(CSP)是另一种避免恶意注入的方法。使用CSP是非常直接的,如下所示。

  1. Content-Security-Policy: trusted-types; 
  2. Content-Security-Policy: trusted-types 'none'
  3. Content-Security-Policy: trusted-types 
  4. Content-Security-Policy: trusted-types   'allow-duplicates'

关于CSP的更多信息,请参考这些指南。

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

5. 始终保持严格模式的开启

开启严格模式会限制你写不安全的代码。

此外,启用这种模式是很简单的。就像在你的JavaScript文件中加入下面这一行一样简单。

  1. use strict 

当严格模式开启时:

6. Lint Your Code

Linters对你的代码库进行静态分析。它有助于建立质量和避免常见的陷阱。

由于质量与安全是相辅相成的,检查有助于减少安全风险。

我们对JavaScript使用的几个流行的工具如下:

此外,像SonarCloud这样的工具也可以用来识别代码气味和已知的安全漏洞。一份Sonar报告将看起来像这样。

注意:正如你在上图中看到的,它有一个安全部分,显示了漏洞、安全热点。

7. 简化和美化你的代码

攻击者通常会试图理解你的代码,以入侵他们的方式。

因此,在生产构建中拥有一个可读的源代码会增加攻击性。作为一种常见的做法,如果你对你的JavaScript代码进行最小化和丑化,就很难利用你编写的代码中的漏洞。

然而,如果你想采取极端的措施来隐藏你的代码,不被用户/客户发现,那么它应该被保存在服务器端,根本不需要发送到浏览器上。

最后

注重安全是非常重要的,特别是在JavaScript应用程序中,要使你的应用程序安全。

此外,如果你想寻求高级的解决方案。在这种情况下,有一些工具,如Snyk、WhiteSource,它们专门扫描你的代码中的漏洞,并通过连续的集成将其自动化。

 

来源:TianTianUp内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯