敏感数据

表单数据提交后端api接口的多种方法及安全考量 开发过程中，表单数据提交到后端API接口是常见操作。本文探讨几种提交方法，并分析其优劣及安全风险。 一、表单数据拼接方法 除了URLSearchParams，还有其他方法拼接表单数据： qs库: 这是一个强大的JavaScript库，能轻松处理复杂数据…

如何理解 js 无法设置 cookie 的 httponly 属性？ JavaScript 中的 document.cookie 属性允许操作 Cookie，但有一个例外：无法设置 HttpOnly 标识。HttpOnly 是一种安全机制，用于防止客户端脚本（如 JavaScript）访问和修改 C…

如果没有同源策略，将产生哪些风险？ 在了解了同源策略后，我们不禁思考：如果没有同源策略，会发生什么？ 假设 A 网站是一家银行，用户登录后，打开了其他网站。如果其他网站可以读取 A 网站的 Cookie，可能会发生以下情况： 通过 iframe 读取 Cookie 如果没有同源策略，其他网站可以随意…

试用期设置的变通之道 部署网站至内网供客户试用时，如何巧妙设置试用期呢？单纯依赖本地时间的做法并不保险，因为客户可以轻松修改系统时间。 解决方案 对于纯前端项目，很遗憾，这种情况无法解决。 但如果有后端程序参与，我们可以采取以下策略： 记录时间戳：在程序首次启动时，记录当前时间戳。定期检查：每隔一段…

HTML 页面向另一个页面传递值有 6 种方法：GET 请求、POST 请求、HTML 表单、Session 存储、Cookies 和 Local Storage。选择方法取决于值大小、安全性以及会话持久性。 HTML 页面向另一个页面传递值的方法 在 HTML 中，有几种方法可以将值从一个页面传递…

Symbol是JavaScript第七种原始类型，ES6引入，具有唯一、不可变、不可枚举特性，用于避免命名冲突、模拟弱私有成员、定义语义化常量键及通过知名Symbol定制对象底层行为。 Symbol 是 JavaScript 中的第七种原始类型，ES6 引入，用来创建**唯一、不可变、不可枚举**的…

JavaScript 加密主要依靠 Web Crypto API，支持 RSA/AES-GCM/SHA-256/ECDSA 等算法，需在安全上下文中运行；RSA 用于非对称加密与签名，AES-GCM 适合高速对称加密并带认证，SHA-256 用于不可逆哈希，ECDSA 用于身份认证；所有操作需注意密…

JavaScript操作cookie需通过document.cookie，读写受限；写入用key=value;expires=…格式，读取需解析字符串，删除需设过期时间；单个最大4KB、同域约20–30个，不安全且易被清除，适合存登录态等需自动随请求发送的轻量数据。 JavaScript…

前端仅引导支付流程，真实交易由后端完成；Stripe用Elements隔离卡信息，PayPal用Buttons组件调起原生结账；密钥、金额校验、状态确认均须后端处理，严禁前端接触敏感数据。 JavaScript 本身不能直接处理支付敏感操作（比如卡号、密钥），但可以通过前端 + 后端协作安全集成 S…