技術文章 » javascript是否具有安全性

javascript是否具有安全性

2022-09-29 18:01:39

javascript具有安全性。JavaScript是一種安全性語言,它不允許存取原生的硬碟,並不能將資料存入到伺服器上,不允許對網路檔案進行修改和刪除,只能通過瀏覽器實現資訊瀏覽或動態互動;從而有效地防止資料的丟失。

前端(vue)入門到精通課程:進入學習
API 檔案、設計、偵錯、自動化測試一體化共同作業工具:

本教學操作環境:windows7系統、javascript1.8.5版、Dell G3電腦。

JavaScript(簡稱「JS」)是當前最流行、應用最廣泛的使用者端指令碼語言,用來在網頁中新增一些動態效果與互動功能,在 Web 開發領域有著舉足輕重的地位。

JavaScript 是一種採用事件驅動的指令碼語言,它不需要藉助 Web 伺服器就可以對使用者的輸入做出響應,例如我們在存取一個網頁時,通過滑鼠在網頁中進行點選或捲動視窗時,通過 JavaScript 可以直接對這些事件做出響應。

JavaScript 不依賴作業系統,在瀏覽器中就可以執行。因此一個 JavaScript 指令碼在編寫完成後可以在任意系統上執行,只需要系統上的瀏覽器支援 JavaScript 即可。

JavaScript是一種安全性語言,它不允許存取原生的硬碟,並不能將資料存入到伺服器上,不允許對網路檔案進行修改和刪除,只能通過瀏覽器實現資訊瀏覽或動態互動;從而有效地防止資料的丟失。

易於實現的5個JavaScript安全最佳實踐

1、使用 JavaScript linter

避免 JavaScript 安全問題的最簡單和最簡單的方法是檢查程式碼。Linter 是靜態程式碼分析工具,可檢查你的程式碼是否存在程式設計和風格錯誤、程式碼異味和已知的安全漏洞。

三種最著名的 JavaScript linter 是 JSHint、JSLint 和 ESLint。 現代原始碼編輯器,例如 Visual Studio Code 和 Atom,也帶有可插入的 JavaScript linting 功能。

2、避免使用內聯 JavaScript 並建立內容安全策略

使用內聯指令碼標籤會使你的網站或應用程式更容易受到跨站點指令碼 (XSS) 攻擊。 你可以通過將所有指令碼(包括內聯事件處理程式(例如 onclick))新增為外部 .js 檔案來避免這種 JavaScript 安全風險。

為了提高安全性,我們還建議你建立內容安全策略 (CSP)。 這是使用者端和伺服器之間通訊中的一個安全層,允許你向 HTTP 響應檔頭新增內容安全規則。

如果你的頁面上沒有任何內聯指令碼,則設定更有效的 CSP 會更容易。 你可以使用 script-src 和 default-src 指令來阻止所有內聯指令碼,因此如果任何惡意內聯指令碼試圖在你的站點上執行,它將自動失敗。

3、驗證使用者輸入

在使用者端和伺服器端驗證使用者輸入對於避免惡意程式碼注入至關重要。

HTML5 表單帶有內建的表單驗證屬性,例如 required、min、max、type 等,讓你無需在使用者端使用任何 JavaScript,即可檢查使用者資料並返回錯誤訊息。 你還可以使用模式 HTML 屬性通過正規表示式驗證輸入的值。

除了這些 HTML5 屬性之外,現代瀏覽器還支援 Constraint Validation API,允許你使用 JavaScript 執行自定義輸入驗證。

這是一個 Web API,它擴充套件了屬於表單中使用的不同 HTML 元素(例如 HTMLInputElement、HTMLSelectElement 和 HTMLButtonElement)的 JavaScript 介面,並提供了有用的屬性和方法,用於根據不同的約束檢查輸入有效性、報告有效性狀態以及執行其他操作。

4、跳脫或編碼使用者輸入

為了避免 XSS 攻擊,對傳入或不安全的資料進行跳脫或編碼也很重要。跳脫和編碼是將可能構成安全風險的特殊字元轉換為安全形式的兩種技術。

雖然編碼會在潛在危險字元之前新增一個額外字元,例如 JavaScript 中引號前的 \ 字元,但跳脫會將字元轉換為等效但安全的格式,例如將 > 字元轉換為 > HTML 中的字串。

根據經驗,當 HTML 實體(例如 < 和 > 字元)來自不受信任的來源時,你應該始終對其進行編碼。要跳脫 URI 和 JavaScript 程式碼,你可以使用免費的跳脫/編碼工具,例如 FreeFormatter 的 JavaScript String Escaper 和 URL Encoder/Decoder。

最好避免使用返回未跳脫字串的 JavaScript 屬性和方法。例如,你可以使用安全 textContent 屬性而不是解析為 HTML 的 innerHTML(因此字元不會被跳脫)。

5、壓縮、捆綁和混淆你的JavaScript程式碼

最後,你可以使用 Webpack 等具有更多安全功能的工具來縮小和捆綁你的程式碼,從而使駭客更難理解你的指令碼的結構和邏輯。例如,你可以向它載入的每個指令碼新增一個亂數。

雖然縮小和捆綁指令碼通常被視為 JavaScript 最佳實踐,但混淆是一個有爭議的話題。 這是因為瀏覽器載入混淆指令碼需要更長的時間,這會降低效能和使用者體驗,尤其是在更高的混淆級別。 但是,如果你仍然決定對部分或全部指令碼進行混淆,則可以使用免費工具(例如 Obfuscator.io),該工具還具有適用於 Webpack、Grunt、Rollup、Netlify 等流行工具的外掛。

遵循這些 JavaScript 安全最佳實踐可以幫助你使指令碼更安全並防止常見攻擊,例如跨站點指令碼、跨站點請求偽造、第三方安全漏洞等。

【相關推薦:、】

以上就是javascript是否具有安全性的詳細內容,更多請關注TW511.COM其它相關文章!