"安全是运维的事"——这是 Web 开发中最危险的误解。实际上,大多数安全漏洞都来自应用层代码 :没有校验的用户输入、硬编码的密钥、错误配置的 CORS。本文用最直白的语言讲清楚 10 个你明天就能用上的安全实践。 1. 永远不要信任用户输入(XSS 防御) 跨站脚本攻击(XSS)的原理很简单:攻击者在输入框里插入 JavaScript 代码,你的网站原封不动地把它显示给其他用户,然后代码就执行了。 三种 XSS 类型 :
- 存储型 XSS :恶意脚本被存到数据库,每次有人访问页面都会执行。比如论坛帖子内容里插入了 script 标签。
- 反射型 XSS :恶意脚本通过 URL 参数传入,服务端直接返回到页面。比如搜索结果的"你搜索了:
