国内互联网公司，为何不注重前端安全

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 3329 days ago, the information mentioned may be changed or developed.

作为一名前端，感觉很多公司的前端安全非常脆弱。就这两年面试的公司来说，很多创业公司不注重前端安全。虽然 IE8 以上浏览器以及 Vue.js 这一类框架对 XSS 攻击做了一定的防范，但仍免不了无意或故意写出有漏洞的代码,随随便便把 cookie 给搞走。当然，很多公司的前端只用 jQuery 就不提了，很多前端流行：老夫拿起 jQuery 就是干。真想反问， jQuery 尤其是 jQuery 的早期版本没有做非常好的 XSS 防范，你真能时时刻刻考虑自己写的代码是否有 XSS 漏洞？

不太了解后端，感觉大部分公司后端安全做的还可以， SQL 注入什么的感觉大家都挺注意的。只是有些疑问，为何前端安全那么脆弱。

Supplement 1 · Apr 3, 2017

标题改成：国内某些互联网公司

jquery

XSS

前端

安全

52 replies • 2017-04-22 16:07:50 +08:00

daryl

Apr 3, 2017

其实讲道理， xss 也该是后端防范的= =

dubuqingfeng

Apr 3, 2017 via Android

其实讲道理， xss 也该是前后端防范的= =，更何况还有 csrf ，点击劫持，造成的蠕虫，说明白了还是水平太差

brucefeng

Apr 3, 2017

前端即使做了安全，后端还会继续做的。前端承担交互功能，做安全没什么实质性作用。

lujiajing1126

Apr 3, 2017 via iPhone

不觉得安全和用什么框架，类库有关系

chunqiuyiyu

Apr 3, 2017

不觉得安全和用什么框架，类库有关系 +1

U7Q5tLAex2FI0o0g

Apr 3, 2017

不觉得安全和用什么框架，类库有关系 +2

U7Q5tLAex2FI0o0g

Apr 3, 2017

先问是不是，再问为什么

sammo

Apr 3, 2017 via iPhone

私以为是这只是不重视集成测试的诸多后果之一

momocraft

Apr 3, 2017

(只会用 API) 和 (对安全没概念) 可能有关联性。要保证安全也需要能深入研究。

peneazy

Apr 3, 2017

@lujiajing1126
@chunqiuyiyu
@littleylv
就 Vue 来说，若其它环节都没有做任何防范处理（当然这种可能非常小），第二种写法就存在 XSS 风险
<span>Message: {{ msg }}</span>
<span>Message: {{{ msg_html }}}</span>

wuling

Apr 3, 2017

私以为是大部分公司不重视或者没有相关保障措施。安全是个很复杂的东西，不能光靠程序员自律，一来安全知识领域很深，普通程序员最多做到最基本的注意事项。二来受限于业务进展，顾不了那么多东西。如果公司没有安全部门，没做专门安全测试，光靠自律就能安全了？不可能的

sagaxu

Apr 3, 2017

后端的职责，任何数据过来，都不该破坏或者影响其它正常数据，如 SQL 注入。
前端的职责，后端返回的任何数据，展示时都自己做好转义，比如 XSS 。
前后端一起合作完成的，例如 CSRF 。

后端在 controller 里统一转义，或者清洗后再入库，都是中了 PHP Magic Quotes 的遗毒

muziki

Apr 3, 2017 via iPhone

因为有价值观加成啊
什么？你说这儿不安全？罚你五个月饼好了

peneazy

Apr 3, 2017

@sammo
@momocraft
@wuling
@sagaxu 嗯，普通程序员有安全概念就很难得了，考虑这么多是会影响业务开发进度，关键还是要有安全部门

peneazy

Apr 3, 2017

@muziki 从中秋到清明，这个梗还在。。。

Moonless

Apr 3, 2017 via Android

@peneazy
双大括号会将数据解释为纯文本，而非 HTML 。为了输出真正的 HTML ，你需要使用 v-html 指令：
<div v-html="rawHtml"></div>
被插入的内容都会被当做 HTML —— 数据绑定会被忽略。注意，你不能使用 v-html 来复合局部模板，因为 Vue 不是基于字符串的模板引擎。组件更适合担任 UI 重用与复合的基本单元。
你的站点上动态渲染的任意 HTML 可能会非常危险，因为它很容易导致 XSS 攻击。请只对可信内容使用 HTML 插值，绝不要对用户提供的内容插值。

摘自 vue 文档

Biwood

Apr 3, 2017 via Android

360 网站监测 jQuery1.x 的最新版有 XSS 漏洞，能具体说说什么样的漏洞么，全世界那么多网站都在用的库，波及范围太广了吧

cjyang1128

Apr 3, 2017

xss 现在危害性也不是很高，只要后端返回 cookie 的时候把关键性的 cookie （比如 session id ）设置为 secure 就行了。其他的 xss 只能恶心恶心人

EyreFree

Apr 3, 2017 via iPhone

钱没花到位或者压根不在乎，一般是亡羊补牢，没人搞我或者有人搞但是没出大乱子就不管。

举一个不太适当的例子：创业公司花三千五招了个实习生搞前端还指望什么安全...

Luckyray

Apr 3, 2017 via iPhone

没钱啊

peneazy

Apr 3, 2017

@Moonless 哦，就是这个，忘记 Vue 文档已经说明了

peneazy

Apr 3, 2017

@Biwood 不清楚，可惜乌云上不了了，之前有那么多的学习资源。。

zhengxiaowai

Apr 3, 2017

因为对挣钱没有一点用处，国内什么鸟风气，还不知道吗？金钱至上，当安全威胁到挣钱时候才会去搞得，比如大一点公司

ma63d

Apr 3, 2017

@peneazy 搞笑了，不觉得安全和用什么框架，类库有关系 +1
同时， Vue 文档苦口婆心的说了一万次谨慎使用 HTML 插值和 v-html 。竟然也拿出来成为 Vue 的黑点。
现在这些人为了搞个大新闻真是什么损招都使得出啊。

ma63d

Apr 3, 2017

楼主千万别用原生 JS 了， document.innerHTML 危险更大更恐怖啊。。逃

changwei

Apr 3, 2017 via Android

这种还算小的，我现在看我同学写的各种类似于毕业设计的小项目，各种越权漏洞（数据库查询的时候 where 只接收 url 带上的 id ，不带上 session 里面的 user id 做限制条件）还有下载漏洞（../../这种的）还有上传不校验扩展名的（直接上传一个 jsp 到你服务器上），现在我们还在学最基础的 jsp ，至于其他 xss ， csrf 的就更不用说了，从学校开始就有这种只看分数只看效果的思想，不重视隐含问题的习惯，只能靠以后职业生涯中的碰壁来修正吧。