Web 安全防护需要从编码、配置与监控三层入手。
核心概念
- XSS 分为反射型、存储型、DOM 型。
- CSP、SRI、Trusted Types 为前端提供防护手段。
- 依赖供应链攻击需通过审计与锁定版本防范。
实战步骤
- 对用户输入进行白名单校验与转义。
- 配置严格的 CSP 并监控 violation 报告。
- 使用
DOMPurify清理富文本内容。
进阶建议
2000/2/28小于 1 分钟
- 正则21
- JavaScript21
- 性能18
- 面试16
- PostgreSQL11
- CSS11
- 安全10
- Java10
- Node.js10
- Python10
- MySQL10
- PHP10
- MongoDB10
- Vue10
- HTML10
- React10
- 架构9
- 测试8
- 监控7
- Observability6
- 优化6
- 前端面试4
- 架构师4
- 初级4
- 中级4
- 高级4
- 后端面试4
- 运维面试4
- 测试面试4
- 备份3
- 恢复3
- 索引3
- 建模3
- 合规3
- 响应式3
- API3
- A11y3
- 自动化2
- 引擎2
- 示例2
- 多语言2
- 扩展2
- 分区2
- 查询优化2
- EXPLAIN2
- 复制2
- 高可用2
- 数据库2
- 微服务2
- 工程化2
- GraphQL2
- 可观测性2
- 队列2
- 异步2
- DevSecOps2
- CI/CD2
- 容量规划2
- 事务2
- 动画2
- 布局2
- 媒体查询2
- Laravel2
- 状态管理2
- 表单2
- 验证2
- i18n2
- SSR2
- 反模式1
- 断言1
- 字符类1
- 命令行1
- 数据清洗1
- 文本处理1
- 调试1
- 工具1
- 回溯1
- 分组1
- 捕获1
- 跨语言1
- 日志分析1
- 量词1
- RegExp1
- 字符串1
- 技巧1
- Unicode1
- 表单验证1
- 最佳实践1
- 生态1
- CDC1
- Logical Decoding1
- 时间序列1
- Kafka1
- 流处理1
- JVM1
- Spring Boot1
- Spring Cloud1
- Spring Data1
- GraalVM1
- 原生镜像1
- Micrometer1
- Spring Security1
- Spring1
- WebFlux1
- 缓存1
- Express1
- NestJS1
- Serverless1
- Stream1
- Django1
- FastAPI1
- 版本管理1
- asyncio1
- 并发1
- Celery1
- 任务队列1
- 数据工程1
- 调度1
- Packaging1
- Monorepo1
- Web1
- 成本1
- InnoDB1
- 归档1
- 可访问性1
- BEM1
- Design Token1
- 主题1
- Flexbox1
- Grid1
- CSS-in-JS1
- 预算1
- 打印1
- 视觉回归1
- DDD1
- DevOps1
- Event Sourcing1
- CQRS1
- Composer1
- Package1
- CI1
- Symfony1
- Aggregation1
- 分析1
- Change Stream1
- 事件驱动1
- NoSQL1
- 分片1
- 一致性1
- Pinia1
- 体验设计1
- 组件1
- Design System1
- 前端1
- Router1
- SPA1
- Nuxt1
- 质量1
- 无障碍1
- 本地化1
- 渐进增强1
- 兼容性1
- Sandbox1
- 语义化1
- 信息架构1
- 模板1
- Storage1
- 离线1
- Web Components1
- 封装1
- Promise1
- 构建1
- ESM1
- PWA1
- Service Worker1
- 事件循环1
- XSS1
- Jest1
- Web Worker1
- 并行1
- TypeScript1
- 类型系统1
- Next.js1
- Edge1
- Accessibility1
- 数据层1
- Hooks1
- 微前端1
- React Native1
- Profiling1
- RSC1
- 服务端渲染1
- Suspense1
- 数据获取1
- Redux1