如何解决我们是否应该检查前端 JavaScript 代码的漏洞?
我最近加入了软件安全领域,有一件事困扰着我。
使用 SAST 工具扫描前端 JavaScript 代码中的漏洞是否有价值? 我在这里的问题只是我们编写的代码,而不是 OSS 依赖项,这是一个完全不同的主题,所以忘记窃取会话 cookie 的可疑依赖项
我的观点是:即使是最安全的代码也可以从客户端轻松更改,如果客户端想让您的前端颠倒,他们可以。而前端可以访问的一切,客户端本身已经可以访问它,没有“额外的权力”,或者有?
是否有任何可以通过前端 JavaScript 代码暴露/缓解的继承漏洞?
如果我们教孩子用 JS 编写代码,然后让他/她为我们编写代码,会出现什么问题(从安全角度来看)?
我能想到的是:
- 硬编码的敏感信息/秘密
- 编写一些疯狂的正则表达式,可能需要永远来评估某些东西,并根据输入使客户端的网页冻结(但在我看来,这更像是一个错误而不是漏洞。在服务器中发生这种情况时完全不同 -它使您的应用程序对所有客户端都没有响应的一面)
- ???这就是我所得到的。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。