Web 安全已经是 Web 开发中一个重要的组成部分，而许多程序猿往往希望专注于程序的实现，而忽略了信息安全的实质。如果没有严谨地考虑到信息安全问题，等出了乱子之后反而会造成更严重的损失。所以要在开发网络应用时更注重 Web 安全，甚至努力成为一个白帽黑客。

这次基于 OSI 和 TCP/IP 这两个模型来介绍可能发生的攻击手段前文：讲给前端的网络安全（1）：浏览器与网络的那些事讲给前端的网络安全（2）： 互联网的构成OSI 和 TCP/IP 模型从上图可以看到，OSI 模型将网络划分成为七层，而TCP / IP模型将其简化成四层。本文会使用 OSI 模型的前三层（1〜3），与 TCP/IP 模型的后两层...

上次讲到了浏览器在网络层面上发生的事，这次对互联网的结构做一些介绍。 讲给前端的网络安全（1）：浏览器与网络的那些事网络资源分配在解互联网之前，要先了解网络资源是怎么分配的。根据 APNIC 的这张图可以看到，分配网络资源的最高机构是 IANA（Internet Assigned Numbers Authority），是总管网络资源的机构，IANA...

本系列将会从互联网的基础即物理层开始，一路到应用层的设计缺陷。由于篇幅的限制，每层都会讲几个代表性的攻击，而且会尽量避开常见的 Web 安全问题

经过一番 996，精心打造的网站眼看就要部属上线了，但在网站正式上线之前，你有没有想过自己的网站是否安全吗？尽管你的网站用了很多高大上的技术，但是如果网站的安全性不足，无法保护网站的数据，甚至成为恶意程序的寄生温床，那前面堆砌了再多的美好也都成了枉然。

你可能会惊讶地知道大型框架如何使你的网站对跨站点脚本（XSS）攻击打开大门。有很多危险的操作，例如 React 中的 dangerouslySetInnerHTML 或 Angular 中的 bypassSecurityTrust API。

有些人要求浏览器“修复”它。 另有一些人挖掘得更深一些，发现它只影响使用React及类似框架编写的网站，并为此指责React。 不过真正的问题在于第三方内容是不是“安全的”。