微信小程序选项卡功能开发步骤与方法全解析
857
2023-02-02
怎么保证前端页面安全(前端安全防范)
本篇文章给大家谈谈怎么保证前端页面安全,以及前端安全防范对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
今天给各位分享怎么保证前端页面安全的知识,其中也会对前端安全防范进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
第一点界面控制:用户还未登入就能通过url访问到系统页面怎么保证前端页面安全,该问题比较好解决通过路由守卫即可判断。
如果用户登入以后用url访问不是属于自己的菜单页,如怎么保证前端页面安全我没有系统管理这个界面,怎么保证前端页面安全我去地址栏输入系统管理这个页面的url,前端因该阻止它访问页面。输入url能访问到页面的原因是你的路由配置了这个地址,所以控制界面的方式就是从路由入手,前期我们配置大家都有的路由,其他的路由根据登入系统时后台返回的权限列表数据,动态添加路由。
在登入时我们把权限数据存入vuex中并本地化,通过路由对象可以获取到路由的配置,把那个用户的路由单独添加到路由列表中,使用addroutes添加更改后到路由配置,添加动态路由的方法调用在app.vue的created中,因为每次加载页面都会调用该方法。
第二菜单控制:
根据用户的不同菜单栏也不同,该问题跟动态路由类似登入时拿到数据存入vuex中并本地化,之后在菜单组件列表循环遍历出对应的菜单栏,过于简单就不截图了。
第三按钮控制:
这个控制可以采用自定义组件的方式,例如这个用户没有添加人员的按钮,他只有查看这个人员菜单的权限。在页面上按钮都添加上,但是是否能显示则根据后端传过来的权限数据,该数据在动态路由作为meta数据添加在路由上了,也就是用路由的meta的数据去判断这个按钮是否显示或者禁用或是可用,在页面我们添加按钮我们就加一个action属于为add,我们或者add去比较如果没有add这个权限如果处理。上图
第四请求拦截
请求拦截并不简单的做一个token,而是每个用户对应可以操作的请求放行,不是他可以操作的拦截,如他没有添加的请求则要拦截,前面不是做了按钮的控制吗,为啥还要做这个拦截,按钮控制并不安全,其实他可以通过浏览器直接修改按钮的属性,有人又说有token了不是可以拦截了吗,对,可以拦截不过那时后台拦截,你请求还是发过去了,请求影响系统性能,所以做这个还是有必要的。
请求拦截,根据名字就知道他是在请求-里设置的,在-中可以获取请求方式,根据请求方式与路由中的mate权限对比有就发送请求,如果没有则不发请求
最基础的自然是JavaScript,HTML和css这三种语言。
首先了解下它们到底是什么。
HTML是用户看到的网页的骨架,比如你会发现当前页面分为左中右三个部分,其中还填充了不同的文字和图片怎么保证前端页面安全;每个子部分还会继续细分,比如当前页面的中间部分下方有输入框等等。
CSS是网页展示的细节控制,比如你会发现有的文字是红底白色,有的子部分占了页面的二分之一宽,有的只占六分之一,有些部分需要用户进行某些操作(如点击,滑动)才会出现等等,这些就是有CSS来控制。
JavaScript是负责捕捉用户在浏览器上的操作,并与后端服务器进行数据交换的脚本语言。当用户在前端进行点击,输入等操作的时候,会触动绑定了该动作的JavaScript脚本,然后JavaScript收集数据,调用后端的api接口,再将后端返回的数据交给HTML和CSS渲染出来。
一个网页的HTML代码和CSS代码是可以直接在浏览器中查看的,你可以直接按F12,就能看到下图右侧的模块,左右侧红框就是代码与实际页面的对应关系。因此如果你看到某个网站的布局很不错,不妨点击F12,进行学习。
前端框架
然而,实际应用中,已经很少有正规的项目组直接用上述三种语言进行web 前端开发了,而是使用很多封装了这三种语言的框架,比如
Vue.js
,angular,react native等等。它们是来自谷歌和Facebook的大神项目组,基于自己的经验,封装了原生前端语言,实现了更多更复杂更酷炫的功能。因此,可以说,学会使用这些框架,能达到事半功倍的效果。
比如用了vue,它是自底向上增量开发的设计,其核心只关心图层,而且还可以与其怎么保证前端页面安全他库或已存项目融合,学习门槛极其友好;另一方面,vue可以驱动单文件组件和vue生态系统支持的库开发的复杂单页应用。有了这个生态系统,可以说,vue是处在一个不断壮大,不断完善的欣欣向荣的状态。
网络通信协议
由于前后端分离的趋势,前端还需要了解很多网络通信协议的知识,这里不局限于http协议,因为据我的经验,有时候我们还会用到websocket等协议。因此,前端需要简单了解不同协议的特点以及使用方式,但是好消息是不用像学习计算机网络课程一样对每种协议的原理都了解的特别透彻,只要学会如何用前端语言发送这种协议的请求就够了。
而后台作为执行程序怎么保证前端页面安全,是会部署到服务器上运行怎么保证前端页面安全,用户是获取不到的,这就增大了入侵的难度
在笔者学生时代,一直单纯地认为正则都是后端老哥的事儿,前端只要 split 一把梭就够了。万不得已的时候就网上搜几段正则代码,copy 一下也能用。
正则表达式语法表(部分)
这是维基百科上正则表达式的词条,截图只截了一屏,事实上这张正则表达式的表格两个屏幕都装不下。我第一次查的时候立马就弃了,于是很长一段时间里都在原地踏步,只会用用 ^ $ . * 这些最简单的语法。
最初见到正则表达式是在表单验证里,多少会用些 validate 的库,基本的电话 / 邮箱之类的校验都有现成的,真正自己写正则去校验输入格式的机会并不多。后来渐渐发觉正则表达式的魔力,它可以是前端工程师的一把利器。
日常琐事
1、老项目迁移,所有的 T.dom.getElementById('abc') 代码都要改成新的写法 $('#abc')
2、组件库升级,所有的 <el-dialog v-model="a" 必须改成 <el-dialog :visible.sync="a"
都是真实工作中的脏活累活,故事 1 中的项目有近 100 个页面,由于 T 库弃用了,不仅 T.dom.getElementById 还有 getElementByClass 等等调用都要改成 jquery 的写法。如果完全靠人肉,那是多么的苦力。
故事 2 中的组件库其实就是我们的 Element,我们原先很多项目都是 Element 1.x,要升级到 2.x,这个对话框的 breaking change 影响还挺大的,在 2.x 中通过 v-model 是无法唤起对话框的。因此要确保每个 el-dialog 都检查一遍,而模板代码里 el-dialog 的 v-model 可能不在第一个,属性多的时候还会换行,都需要火眼金睛。
聪明的读者肯定知道,靠人肉是个没有办法的办法,而且看多了也会眼花,最好还要 double check。虽然写正则表达式去找,也不能保证 100% 都覆盖,毕竟老项目里各种迷之代码都有,但正则能帮我们找出大部分,并且 replace 的时候也能避免输入错误,这样可以把精力放在 double check 上。
正则起源
正则表达式源于形式语言与自动机理论,关于形式化的内容不是本文的重点,感兴趣的朋友可以去 wiki 上查。
正则引擎的基础就是状态机,在编译原理中你一定会听说 NFA (非确定有限状态自动机) 与 DFA (确定有限状态自动机),关于 NFA / DFA 通俗的解释可以参考这篇文章。
正则表达式最早在 Unix 中的 sed 和 grep 命令中开始普及。如果你用过 sed "s/aaa/bbb/" 的话,其实可以写正则表达式来做更复杂的文本处理。
而在编程语言中,Perl 是第一个实现正则表达式引擎的语言。目前大部分语言都使用基于 NFA 的正则引擎。
怎么学正则
笔者走了一些弯路,先在实战中写正则,不会写就查正则的语法表,渐渐地大部分语法也就都记住了,需要查表的也越来越少了。其实我觉得正确的学习方式应该先完整地看一本入门书籍,对整体有宏观把控后,再在实战中反复练习和查表,回头再重新看书,这样的记忆应该最深。
如果你还在为正则表达式的语法而健忘的话,推荐一本《正则表达式必知必会》,这本书只有100 页,一个周末就能看完。以后再查语法表的时候,就会越来越有规律可循。
正则表达式的语法大致可分为这几大类:
匹配字符
匹配位置
重复与贪婪
分组与捕获
前后断言
本文并不介绍正则表达式语法,只通过实际工作的例子来说明正则的运用场景。可以先根据以上几个分类,在正则表达式的语法表里再过一遍。
1、URL里的暗号
在公司的开发环境中,一般都会有两套以上的测试环境,如 alpha 和 beta 环境。而在前端页面,我们通常使用不同的 URL 来区分,例如 jack.alpha.domain.com 与 jack.beta.domain.com 分别对应 alpha 和 beta 环境,而 jack.domain.com 则是生产环境。问题来了,前端代码是同一份,它需要根据当前 hostname 所属的环境来调用不同环境的接口。
当然这个问题也是 split 一把梭就能解决的,但这并不优雅。回到正则表达式上,我们先分析需求,假设公司一级域名只有 domain.com 的,那么这个问题就是提取 appid (例子中的 jack) 与 .domain.com 中间的部分。
var reg = /\w+\.(\w+\.)?domain.com/;
var match = 'jack.alpha.domain.com'.match(reg);
console.log(match[1]); // alpha.
如上代码的正则表达式中,关键是 (\w+\.)? 这段,它表示匹配零次或一次,并且小括号是分组,可在 match 的结果中直接拿到分组捕获到的内容。
补充 1:分组里拿到的结果是 alpha.,多了个 . 不走心,怎么把它去掉呢?可以改成 ((\w+)\.)? 这样 alpha 就要在第 2 组捕获里拿到了,因为第 1 组仍是 alpha.。
补充 2:试试 (?:(\w+)\.)? 这里 (?:) 表示不产生分组号,于是仍可在第 1 组捕获中拿到 alpha。
补充 3:\w 匹配字母数字和下划线,如果你的 hostname 中包含其他字符,比如扩充成 [\w-] 就可以包含中划线 -。
补充 4:假如公司的一级域名有多个,那也可以对 domain.com 再进行扩充。 关于怎么保证前端页面安全和前端安全防范的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。 怎么保证前端页面安全的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于前端安全防范、怎么保证前端页面安全的信息别忘了在本站进行查找喔。
本文目录一览:
前端权限控制
前端权限控制分为四个方面的控制第一点界面控制:用户还未登入就能通过url访问到系统页面怎么保证前端页面安全,该问题比较好解决通过路由守卫即可判断。
如果用户登入以后用url访问不是属于自己的菜单页,如怎么保证前端页面安全我没有系统管理这个界面,怎么保证前端页面安全我去地址栏输入系统管理这个页面的url,前端因该阻止它访问页面。输入url能访问到页面的原因是你的路由配置了这个地址,所以控制界面的方式就是从路由入手,前期我们配置大家都有的路由,其他的路由根据登入系统时后台返回的权限列表数据,动态添加路由。
在登入时我们把权限数据存入vuex中并本地化,通过路由对象可以获取到路由的配置,把那个用户的路由单独添加到路由列表中,使用addroutes添加更改后到路由配置,添加动态路由的方法调用在app.vue的created中,因为每次加载页面都会调用该方法。
第二菜单控制:
根据用户的不同菜单栏也不同,该问题跟动态路由类似登入时拿到数据存入vuex中并本地化,之后在菜单组件列表循环遍历出对应的菜单栏,过于简单就不截图了。
第三按钮控制:
这个控制可以采用自定义组件的方式,例如这个用户没有添加人员的按钮,他只有查看这个人员菜单的权限。在页面上按钮都添加上,但是是否能显示则根据后端传过来的权限数据,该数据在动态路由作为meta数据添加在路由上了,也就是用路由的meta的数据去判断这个按钮是否显示或者禁用或是可用,在页面我们添加按钮我们就加一个action属于为add,我们或者add去比较如果没有add这个权限如果处理。上图
第四请求拦截
请求拦截并不简单的做一个token,而是每个用户对应可以操作的请求放行,不是他可以操作的拦截,如他没有添加的请求则要拦截,前面不是做了按钮的控制吗,为啥还要做这个拦截,按钮控制并不安全,其实他可以通过浏览器直接修改按钮的属性,有人又说有token了不是可以拦截了吗,对,可以拦截不过那时后台拦截,你请求还是发过去了,请求影响系统性能,所以做这个还是有必要的。
请求拦截,根据名字就知道他是在请求-里设置的,在-中可以获取请求方式,根据请求方式与路由中的mate权限对比有就发送请求,如果没有则不发请求
web前端需要掌握的哪些知识
一个合格的web前端需要掌握哪些技术怎么保证前端页面安全?最基础的自然是JavaScript,HTML和css这三种语言。
首先了解下它们到底是什么。
HTML是用户看到的网页的骨架,比如你会发现当前页面分为左中右三个部分,其中还填充了不同的文字和图片怎么保证前端页面安全;每个子部分还会继续细分,比如当前页面的中间部分下方有输入框等等。
CSS是网页展示的细节控制,比如你会发现有的文字是红底白色,有的子部分占了页面的二分之一宽,有的只占六分之一,有些部分需要用户进行某些操作(如点击,滑动)才会出现等等,这些就是有CSS来控制。
JavaScript是负责捕捉用户在浏览器上的操作,并与后端服务器进行数据交换的脚本语言。当用户在前端进行点击,输入等操作的时候,会触动绑定了该动作的JavaScript脚本,然后JavaScript收集数据,调用后端的api接口,再将后端返回的数据交给HTML和CSS渲染出来。
一个网页的HTML代码和CSS代码是可以直接在浏览器中查看的,你可以直接按F12,就能看到下图右侧的模块,左右侧红框就是代码与实际页面的对应关系。因此如果你看到某个网站的布局很不错,不妨点击F12,进行学习。
前端框架
然而,实际应用中,已经很少有正规的项目组直接用上述三种语言进行web 前端开发了,而是使用很多封装了这三种语言的框架,比如
Vue.js
,angular,react native等等。它们是来自谷歌和Facebook的大神项目组,基于自己的经验,封装了原生前端语言,实现了更多更复杂更酷炫的功能。因此,可以说,学会使用这些框架,能达到事半功倍的效果。
比如用了vue,它是自底向上增量开发的设计,其核心只关心图层,而且还可以与其怎么保证前端页面安全他库或已存项目融合,学习门槛极其友好;另一方面,vue可以驱动单文件组件和vue生态系统支持的库开发的复杂单页应用。有了这个生态系统,可以说,vue是处在一个不断壮大,不断完善的欣欣向荣的状态。
网络通信协议
由于前后端分离的趋势,前端还需要了解很多网络通信协议的知识,这里不局限于http协议,因为据我的经验,有时候我们还会用到websocket等协议。因此,前端需要简单了解不同协议的特点以及使用方式,但是好消息是不用像学习计算机网络课程一样对每种协议的原理都了解的特别透彻,只要学会如何用前端语言发送这种协议的请求就够了。
前端页面与数据库交互
前端页面是不会自动去更新内容怎么保证前端页面安全的怎么保证前端页面安全,只是获取到某个时间点数据库的数据内容怎么保证前端页面安全,当数据库内容更新后,前端不重新去请求页面是不会更新的。一般业务场景下,数据库的内容更新未必会实时反映到页面,也没必要。如需要实时更新的场景,就需要服务器端做消息推送,如站内信、邮件等。这都是需要在后台服务器端编程的,不是靠前端做的;前端页面直接去访问数据库?开玩笑,做不做得到先不谈,安全性就无法保证。前端只负责发起请求和获取数据并呈现,至于怎么调用数据库不是前端关心的,也不必关心,那是属于后端的任务。
为什么前端不能直接连接数据库,一定要通过后台
为了数据安全 前端页面可以改动 如果前端直接连数据库 那同行也得只需要修改页面上的sql语句就可以读取、修改数据库的全部信息而后台作为执行程序怎么保证前端页面安全,是会部署到服务器上运行怎么保证前端页面安全,用户是获取不到的,这就增大了入侵的难度
为啥要保证前端工作需要的表格
为啥要保证前端工作需要的表格在笔者学生时代,一直单纯地认为正则都是后端老哥的事儿,前端只要 split 一把梭就够了。万不得已的时候就网上搜几段正则代码,copy 一下也能用。
正则表达式语法表(部分)
这是维基百科上正则表达式的词条,截图只截了一屏,事实上这张正则表达式的表格两个屏幕都装不下。我第一次查的时候立马就弃了,于是很长一段时间里都在原地踏步,只会用用 ^ $ . * 这些最简单的语法。
最初见到正则表达式是在表单验证里,多少会用些 validate 的库,基本的电话 / 邮箱之类的校验都有现成的,真正自己写正则去校验输入格式的机会并不多。后来渐渐发觉正则表达式的魔力,它可以是前端工程师的一把利器。
日常琐事
1、老项目迁移,所有的 T.dom.getElementById('abc') 代码都要改成新的写法 $('#abc')
2、组件库升级,所有的 <el-dialog v-model="a" 必须改成 <el-dialog :visible.sync="a"
都是真实工作中的脏活累活,故事 1 中的项目有近 100 个页面,由于 T 库弃用了,不仅 T.dom.getElementById 还有 getElementByClass 等等调用都要改成 jquery 的写法。如果完全靠人肉,那是多么的苦力。
故事 2 中的组件库其实就是我们的 Element,我们原先很多项目都是 Element 1.x,要升级到 2.x,这个对话框的 breaking change 影响还挺大的,在 2.x 中通过 v-model 是无法唤起对话框的。因此要确保每个 el-dialog 都检查一遍,而模板代码里 el-dialog 的 v-model 可能不在第一个,属性多的时候还会换行,都需要火眼金睛。
聪明的读者肯定知道,靠人肉是个没有办法的办法,而且看多了也会眼花,最好还要 double check。虽然写正则表达式去找,也不能保证 100% 都覆盖,毕竟老项目里各种迷之代码都有,但正则能帮我们找出大部分,并且 replace 的时候也能避免输入错误,这样可以把精力放在 double check 上。
正则起源
正则表达式源于形式语言与自动机理论,关于形式化的内容不是本文的重点,感兴趣的朋友可以去 wiki 上查。
正则引擎的基础就是状态机,在编译原理中你一定会听说 NFA (非确定有限状态自动机) 与 DFA (确定有限状态自动机),关于 NFA / DFA 通俗的解释可以参考这篇文章。
正则表达式最早在 Unix 中的 sed 和 grep 命令中开始普及。如果你用过 sed "s/aaa/bbb/" 的话,其实可以写正则表达式来做更复杂的文本处理。
而在编程语言中,Perl 是第一个实现正则表达式引擎的语言。目前大部分语言都使用基于 NFA 的正则引擎。
怎么学正则
笔者走了一些弯路,先在实战中写正则,不会写就查正则的语法表,渐渐地大部分语法也就都记住了,需要查表的也越来越少了。其实我觉得正确的学习方式应该先完整地看一本入门书籍,对整体有宏观把控后,再在实战中反复练习和查表,回头再重新看书,这样的记忆应该最深。
如果你还在为正则表达式的语法而健忘的话,推荐一本《正则表达式必知必会》,这本书只有100 页,一个周末就能看完。以后再查语法表的时候,就会越来越有规律可循。
正则表达式的语法大致可分为这几大类:
匹配字符
匹配位置
重复与贪婪
分组与捕获
前后断言
本文并不介绍正则表达式语法,只通过实际工作的例子来说明正则的运用场景。可以先根据以上几个分类,在正则表达式的语法表里再过一遍。
1、URL里的暗号
在公司的开发环境中,一般都会有两套以上的测试环境,如 alpha 和 beta 环境。而在前端页面,我们通常使用不同的 URL 来区分,例如 jack.alpha.domain.com 与 jack.beta.domain.com 分别对应 alpha 和 beta 环境,而 jack.domain.com 则是生产环境。问题来了,前端代码是同一份,它需要根据当前 hostname 所属的环境来调用不同环境的接口。
当然这个问题也是 split 一把梭就能解决的,但这并不优雅。回到正则表达式上,我们先分析需求,假设公司一级域名只有 domain.com 的,那么这个问题就是提取 appid (例子中的 jack) 与 .domain.com 中间的部分。
var reg = /\w+\.(\w+\.)?domain.com/;
var match = 'jack.alpha.domain.com'.match(reg);
console.log(match[1]); // alpha.
如上代码的正则表达式中,关键是 (\w+\.)? 这段,它表示匹配零次或一次,并且小括号是分组,可在 match 的结果中直接拿到分组捕获到的内容。
补充 1:分组里拿到的结果是 alpha.,多了个 . 不走心,怎么把它去掉呢?可以改成 ((\w+)\.)? 这样 alpha 就要在第 2 组捕获里拿到了,因为第 1 组仍是 alpha.。
补充 2:试试 (?:(\w+)\.)? 这里 (?:) 表示不产生分组号,于是仍可在第 1 组捕获中拿到 alpha。
补充 3:\w 匹配字母数字和下划线,如果你的 hostname 中包含其他字符,比如扩充成 [\w-] 就可以包含中划线 -。
补充 4:假如公司的一级域名有多个,那也可以对 domain.com 再进行扩充。 关于怎么保证前端页面安全和前端安全防范的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。 怎么保证前端页面安全的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于前端安全防范、怎么保证前端页面安全的信息别忘了在本站进行查找喔。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
相关文章
发表评论
最近发表
推荐文章
热评文章
暂时没有评论,来抢沙发吧~