前端安全

防止XSS需转义用户输入、使用DOMPurify、避免innerHTML、设置CSP；2. 会话安全应使用HttpOnly Cookie并配置Secure和SameSite属性；3. 防范CSRF需配合后端使用CSRF Token和自定义请求头；4. 依赖安全要定期审计漏洞、锁定版本、移除无用包并启…

防范JavaScript代码注入攻击需避免执行不可信数据并控制脚本环境。1. 禁止直接执行用户输入，避免eval()、innerHTML等风险操作，用JSON.parse()和textContent替代；2. 启用内容安全策略（CSP），通过HTTP头限制资源加载，禁用内联脚本与动态代码执行；3. …

前端无法安全存储密钥，应避免硬编码；密钥需由后端管理，前端通过HTTPS获取短期密钥或使用Web Crypto API生成临时密钥，结合用户密码派生密钥并设置非提取性，页面关闭即失效，降低泄露风险。 在前端加密场景中，JavaScript 本身运行在用户浏览器中，所有代码和数据对用户可见，因此无法安…

CSP通过白名单机制阻止恶意脚本执行，是防御XSS的核心手段；CSRF令牌结合SameSite属性可有效验证用户意图，防范跨站请求伪造。二者与输入验证、HTTP安全头、依赖管理和最小权限原则共同构成前端多层防御体系，缺一不可。 前端安全，尤其是JavaScript层面的防护，从来都不是一劳永逸的事情…

前端水印的实现主要有两种思路：canvas和dom结构。1.canvas方式性能较好，适合批量生成水印，但内容难以被选中和复制；2.dom结构方式允许用户选中和复制水印内容，但性能相对较差且可能影响页面渲染。为了防止水印被移除，可以采用定时重绘、mutationobserver监听、服务端渲染水印、…