什么是 JavaScript Security? 实战教程

关于What，网上资料比较零散，这里做个相对完整的总结。

Ready to learn more? Subscribe to our newsletter for weekly tutorials and tips.

正文

什么是JavaScript安全性？什么是JavaScript安全性？

JavaScript是一种广泛使用的客户端编程语言，但它也可以在服务器上运行。与任何编程语言一样，用JavaScript编写的应用程序可能包含攻击者可以出于各种目的利用的漏洞。

JavaScript安全性包括用于保护JavaScript的流程和工具。这包括识别应用程序中的这些漏洞，并采取措施在开发过程中消除它们或防止它们在生产中被利用。

作为一种主要的前端语言， JavaScript应用程序特别容易受到攻击，因为用户可以访问应用程序的代码。这使得攻击者更容易识别和利用前端应用程序中的漏洞。此外，攻击者能够修改浏览器中的代码或直接向服务器端应用程序发送请求，从而绕过前端保护。

JavaScript的独特暴露使得在漏洞被攻击者利用之前发现和修复漏洞至关重要。JavaScript安全通过识别组织JavaScript代码中的已知漏洞来帮助组织实现这一目标。

JavaScript应用程序未编译，这意味着源代码在其整个生命周期中都是可见的。虽然这存在安全缺点，但这也意味着可以通过静态应用程序安全测试（ SAST ）轻松分析这些应用程序。

SAST工具将分析应用程序的源代码是否存在已知漏洞或其他问题。例如， JavaScript安全工具可能会在JavaScript中查找eval ()命令的使用，这提供了对终端的不安全访问。它还可能检查应用程序使用的依赖项，以确定是否存在已知漏洞或已知是恶意的漏洞。

可以手动执行，为开发人员或安全团队成员提供有关应用程序漏洞的完整报告。或者， JavaScript安全扫描可以内置到自动化DevOps工作流程中，以便在将代码提交到存储库之前发现并修复漏洞。

JavaScript应用程序可能包含一系列潜在漏洞。其中最常见的包括以下内容：

JavaScript应用程序可能包含在应用程序中创建漏洞的编码错误。这在客户端JavaScript中尤其危险，因为攻击者可以轻松读取代码并搜索问题。

JavaScript应用程序通常使用通过npm或类似来源提供的第三方库。这些库可能包括使应用程序易受攻击的漏洞或恶意代码。

在处理之前未能验证用户输入可能会产生注入漏洞。这可能会导致各种类型的注入攻击，具体取决于数据的格式及其使用。跨站脚本(XSS) ：

XSS漏洞允许攻击者将恶意JavaScript代码注入网页。此代码可用于窃取敏感数据或采取其他恶意操作。跨站请求伪造：

在CSRF攻击中，攻击者会欺骗用户的浏览器，对其已通过身份验证的网站执行请求。这可能允许攻击者更改用户在网站上的密码、执行银行交易、发布社交媒体帖子或采取其他不良行为。

JavaScript代码能够访问Web请求中的敏感数据，例如存储在HTTP Cookie中的值。这可用于窃取会话ID令牌，使攻击者能够劫持经过身份验证的用户与网页的会话。