前端安全——敏感信息泄露
配景随着 Web 应用步伐的普及和用户数据代价的提升,前端安全问题日益凸显。前端应用中的敏感信息(如用户名、暗码、光荣卡号等)轻易受到各种安全威胁,如 XSS 攻击、CSRF 攻击和源代码泄露等。这些威胁不仅影响用户体验,还可能导致严峻的数据泄露变乱,因此掩护前端敏感信息成为了一个至关重要的议题。
示例
假设你在 Vue 项目中定义一些理敏感信息,比方一些用户信息:
<template>
<div>
<h1>个人信息</h1>
</div>
</template>
<script>
export default {
name: "leakageInfo",
data() {
return {
userList: ['Z张三', 'L李四', 'W王五', 'Z赵六', 'S孙七', 'Z周八 '],// 示例敏感信息
};
},
};
</script>
上述代码在 data 里定义了一个用户数组 sensitiveInfo,固然没有利用,但是在欣赏器里面还是能通过源码查找到数据
https://i-blog.csdnimg.cn/direct/55200516da8a4f8db070fc11ebac2eac.png#pic_center
办理方法
1. 通过调用后端 API 接口获取
将数据存储在后端服务器上,并通过 API 接口动态获取。如许可以确保数据不会直接暴露在前端代码中。
<template>
<div>
<h1>个人信息</h1>
</div>
</template>
<script>
import { getUserList } from '@/api/user.js';
export default {
name: "leakageInfo",
data() {
return {
userList: [],
};
},
created() {
this.getNameList();
},
methods: {
getNameList() {
getUserList().then(res => {
console.log('res::: ', res);
this.userList = res.data.userList;
})
}
}
};
</script>
调用接口 api 获取数据,在欣赏器控制台 Network 能查看接口请求体与相应体内容,这就需要对接口请求内容进行加密
接口加解密参考文档: 前端利用 crypto-js 库 aes加解密
2. 利用 webpack-obfuscator 插件对代码进行混淆,使原始代码变得难以阅读和明确,从而制止了信息泄露
安装
npm install webpack-obfuscator@2.6.0 javascript-obfuscator@3.2.7 --save-dev
# 或者
yarn add webpack-obfuscator@2.6.0 javascript-obfuscator@3.2.7 --dev
在 vue.config.js 文件里配置
const ObfuscatorPlugin = require('webpack-obfuscator');
const { defineConfig } = require('@vue/cli-service');
module.exports = defineConfig({
configureWebpack: (config) => {
if (process.env.NODE_ENV === 'production') {
config.plugins.push(
new ObfuscatorPlugin({
// 压缩代码
compact: true,
// 是否启用控制流扁平化(降低1.5倍的运行速度)
controlFlowFlattening: false,
// 随机的死代码块(增加了混淆代码的大小)
deadCodeInjection: false,
// 此选项几乎不可能使用开发者工具的控制台选项卡
debugProtection: false,
// 如果选中,则会在“控制台”选项卡上使用间隔强制调试模式,从而更难使用“开发人员工具”的其他功能。
debugProtectionInterval: false,
// 通过用空函数替换它们来禁用console.log,console.info,console.error和console.warn。这使得调试器的使用更加困难。
disableConsoleOutput: true,
// 标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)
identifierNamesGenerator: 'hexadecimal',
log: false,
// 是否启用全局变量和函数名称的混淆
renameGlobals: false,
// 通过固定和随机(在代码混淆时生成)的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小,建议使用此选项,因为辅助函数可以引起注意。
rotateStringArray: true,
// 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;
selfDefending: true,
// 删除字符串文字并将它们放在一个特殊的数组中
stringArray: true,
rotateUnicodeArray: true,
stringArrayEncoding: ['base64'],
stringArrayThreshold: 1,
// 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小,并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
unicodeEscapeSequence: false,
})
)
}
})
})
webpack-obfuscator 插件详细配置以及一些注意事项: https://blog.csdn.net/a123456234/article/details/140911695?spm=1001.2014.3001.5501
代码混淆后
https://i-blog.csdnimg.cn/direct/833112d36a6847beae0166890f496f38.png#pic_center
3. 利用环境变量来管理敏感数据
创建 .env 文件,并设置环境变量
.env.development 与 .env.production 文件
VUE_APP_USER_LIST='Z张三,L李四,W王五,Z赵六,S孙七,Z周八'
项目中利用
<template>
<div>
<h1>个人信息</h1>
<div>
<div v-for="(item, index) in userList" :key="index">{{ item }}</div>
</div>
</div>
</template>
<script>
export default {
name: "leakageInfo",
data() {
return {};
},
computed: {
userList() {
// 将字符串转换为 JSON 数组
console.log('JSON.parse(JSON.stringify(process.env.VUE_APP_USER_LIST)).split(',')::: ', JSON.parse(JSON.stringify(process.env.VUE_APP_USER_LIST)).split(','));
return JSON.parse(JSON.stringify(process.env.VUE_APP_USER_LIST)).split(',') || [];
}
},
};
</script>
实现结果
https://i-blog.csdnimg.cn/direct/7acb0679bc2d4dfaa96dbf7adfcb8922.png#pic_center
总结
为了有用办理前端敏感信息泄露的问题,本文提出了三种实用的方法:
[*]通过调用后端 API 接口动态获取敏感数据,制止将敏感信息硬编码在前端代码中,确保数据的安全传输和存储。
[*]利用 webpack-obfuscator 插件对前端代码进行混淆,增长破解难度,使得攻击者难以直接从源代码中获取敏感信息。
[*]通过环境变量管理敏感数据,确保其不在前端代码中直接暴露,同时便于在差别环境(如开发、测试和生产环境)中灵活配置。
这些方法相联合,不仅提升了前端应用的安全性,还增强了体系的灵活性和可维护性,从而有用防止敏感信息泄露。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]