- vừa được xem lúc

Bảo mật ứng dụng JavaScript: Lỗ hổng phổ biến và thực tiễn tốt nhất

0 0 1

Người đăng: Thái Thịnh

Theo Viblo Asia

JavaScript là ngôn ngữ lập trình được sử dụng rộng rãi để tạo các ứng dụng phía máy khách và máy chủ. Trường hợp sử dụng của nó vượt ra ngoài phát triển web, vì JavaScript cũng được sử dụng trong phát triển ứng dụng di động và trí tuệ nhân tạo. Điều này làm cho JavaScript trở thành một ngôn ngữ linh hoạt.

Tuy nhiên, với tính linh hoạt đó là những rủi ro. Việc sử dụng JavaScript rộng rãi cũng khiến nó trở thành mục tiêu hàng đầu cho các cuộc tấn công. Cũng giống như con người đã phát triển các hệ thống bảo mật phức tạp cho ngôi nhà của họ, chẳng hạn như camera giám sát và khóa kỹ thuật số, các nhà phát triển cũng phải bảo vệ ứng dụng của họ khỏi các cuộc tấn công mạng và các mối đe dọa từ bên ngoài.

Bài viết này sẽ giới thiệu cho bạn tầm quan trọng của bảo mật trong ứng dụng. Chúng ta cũng sẽ thảo luận về các lỗ hổng bảo mật JavaScript phổ biến và cách ngăn chặn các cuộc tấn công và bảo mật mã JavaScript của bạn.

Tại sao bạn cần bảo mật ứng dụng JavaScript của mình

Ngày nay, khi xây dựng một dự án, hầu hết các lập trình viên chỉ tập trung vào việc làm cho ứng dụng hoạt động và sao chép chức năng mong muốn. Bảo mật thường không được ưu tiên, điều này đã dẫn đến những vấn đề đáng kể trong những năm gần đây. Nhiều công ty đã bị ảnh hưởng bởi các cuộc tấn công bảo mật, dẫn đến mất doanh thu, lộ thông tin người dùng nhạy cảm và thiệt hại đến uy tín của công ty.

Một ví dụ thực tế minh họa hoàn hảo cho kịch bản này là cuộc tấn công Magecart vào Segway. Năm 2022, Segway, một công ty nổi tiếng với việc sản xuất xe tay ga điện hai bánh, đã trở thành nạn nhân của một cuộc tấn công Magecart, trong đó thông tin thanh toán nhạy cảm của người dùng đã bị lộ cho kẻ tấn công. Cuộc tấn công Magecart vào Segway là một ví dụ nổi tiếng về skimming kỹ thuật số. Kẻ tấn công đã có thể đánh cắp thông tin của người dùng bằng cách chèn một đoạn script thao túng mã chạy trong trình duyệt web, cho phép chúng truy cập dữ liệu được nhập trên các trang web của người dùng.

Cuộc tấn công Segway đã khai thác một lỗ hổng JavaScript lớn, đó là khả năng thực thi mã phía máy khách của JavaScript. Điều này giúp việc chèn và thực thi các đoạn script độc hại trong trình duyệt của người dùng dễ dàng hơn. Để ngăn ứng dụng của bạn bị kẻ tấn công xâm nhập, điều quan trọng là phải hiểu các lỗ hổng của JavaScript, cách kẻ tấn công khai thác các lỗ hổng này và sau đó tìm hiểu cách bảo mật ứng dụng của bạn.

Hiểu về các lỗ hổng bảo mật JavaScript phổ biến

Lỗ hổng bảo mật JavaScript là điểm yếu hoặc lỗ hổng trong kiến trúc của nó khiến nó dễ bị tấn công. Những lỗ hổng này thường được gọi là các điểm xâm nhập khác nhau mà qua đó kẻ tấn công có thể xâm nhập vào một chương trình. Chúng ta sẽ khám phá một số lỗ hổng JavaScript phổ biến dưới đây.

1. Tấn công Cross-Site Scripting (XSS)

Tấn công Cross-Site Scripting (XSS) là một loại tấn công trong đó mã độc hại được kẻ tấn công chèn vào phần frontend của trang web. Mã này sau đó được thực thi trong trình duyệt của những người dùng không nghi ngờ khi truy cập trang web bị xâm nhập. Kẻ tấn công XSS sử dụng phương pháp này để đánh cắp dữ liệu của người dùng, chiếm đoạt dữ liệu phiên và thực hiện các hoạt động độc hại khác.

Tấn công XSS có hiệu quả vì chúng khai thác việc trình duyệt không thể phân biệt giữa mã đáng tin cậy và mã độc hại do kẻ tấn công chèn vào. Hãy xem xét một phép so sánh để hiểu cách thức hoạt động của tấn công XSS. Hãy tưởng tượng một ứng dụng web nơi người dùng có thể đăng bình luận hoặc gửi dữ liệu thông qua biểu mẫu. Kẻ tấn công có thể chèn một đoạn script độc hại như một phần của bình luận. Nếu ứng dụng không lọc hoặc xác thực đầu vào một cách hiệu quả, trình duyệt sẽ chạy đoạn script độc hại bất cứ khi nào người dùng khác tải trang hoặc xem bình luận đó.

Dưới đây là một ví dụ mã minh họa điều này:

 <form id="commentForm"> <textarea id="comment"></textarea> <br> <button type="submit">Submit Comment</button> </form> <div id="commentSection"> <ul id="commentList"></ul> <!--Where the comment is displayed --> </div>

Ở đây, chúng ta có một đoạn mã đánh dấu biểu mẫu đơn giản ở trên để gửi bình luận của người dùng.

document.getElementById('commentForm').onsubmit = function(e) { e.preventDefault(); const comment = document.getElementById('comment').value; document.getElementById('commentList').innerHTML += `<li>${comment}</li>`; // line where XSS attack occurs };

Bây giờ, mỗi khi người dùng gửi bình luận, JavaScript sẽ lấy bình luận cụ thể đó và đưa nó vào cấu trúc trang web của chúng ta. Một kẻ tấn công biết được điều này có thể đưa một đoạn script tấn công như thế này vào biểu mẫu bình luận.

<script>alert('XSS Attack!')</script>

JavaScript sẽ lấy mã này và lưu trữ nó trong trang web của chúng ta giống như một bình luận thông thường, vì vậy mỗi khi người dùng tải trang bị nhiễm, script sẽ được thực thi. Loại tấn công XSS này được gọi là stored XSS.

Để bảo vệ ứng dụng của bạn khỏi các cuộc tấn công XSS, điều quan trọng là phải lọc và xác thực đầu vào và thường xuyên quét mã của bạn để tìm lỗ hổng.

2. Tấn công Cross-Site Request Forgery (CSRF)

Cross-Site Request Forgery (CSRF) đề cập đến một loại tấn công trong đó kẻ tấn công lừa trình duyệt của người dùng đã được xác thực thực hiện các hành động không mong muốn bằng cách sử dụng thông tin đăng nhập của người dùng. Điều này thường xảy ra thông qua các kỹ thuật social engineering khiến trình duyệt gửi yêu cầu mà người dùng không biết hoặc không đồng ý.

Trong một cuộc tấn công CSRF, kẻ tấn công mạo danh nạn nhân bằng cách sử dụng thông tin đăng nhập được lưu trữ trong trình duyệt của người dùng, chẳng hạn như cookie phiên, JWT hoặc mã thông báo OAuth. Chúng sử dụng thông tin đăng nhập này để gửi yêu cầu HTTP đến máy chủ của trang web, thực hiện các hành động trái phép thay mặt nạn nhân, chẳng hạn như chuyển tiền hoặc thay đổi địa chỉ email hoặc mật khẩu của người dùng. Hãy xem xét một kịch bản giả định từ góc độ của kẻ tấn công để hiểu rõ hơn về CSRF.

Hãy tưởng tượng tôi là một kẻ tấn công đang cố gắng sử dụng CSRF để đánh cắp tiền từ tài khoản ngân hàng của một nạn nhân không nghi ngờ. Đây là cách tôi sẽ làm điều đó:

  • Đầu tiên, tôi sẽ tạo một biểu mẫu độc hại kích hoạt chuyển khoản trên trang web ngân hàng của nạn nhân bằng cách sử dụng yêu cầu POST.
 <form action="https://victim-bank.com/transfer" method="POST"> <input type="hidden" name="toAccount" value="attacker-account" /> <input type="hidden" name="amount" value="1000" /> </form>
  • Tiếp theo, tôi cần thao túng nạn nhân truy cập trang web chứa biểu mẫu này. Tôi có thể đạt được điều này theo hai cách bằng cách:

    • Gửi liên kết trang qua email, giả vờ là từ ngân hàng của nạn nhân.
    • Nhúng liên kết vào một trang web dụ nạn nhân truy cập (ví dụ: chương trình khuyến mãi giả mạo hoặc ưu đãi tặng quà).
  • Bây giờ, khi nạn nhân truy cập trang web độc hại, nếu nạn nhân vẫn được xác thực với trang web mục tiêu, biểu mẫu sẽ được thực thi ngay lập tức và tiền được chuyển vào tài khoản của tôi.

// Automatically submits the form when the malicious page is loaded document.forms[0].submit();

Để ngăn chặn các cuộc tấn công CSRF, bạn có thể triển khai mã thông báo chống CSRF trong ứng dụng web. Mã thông báo này tạo một mã định danh duy nhất cho mỗi phiên. Khi trình duyệt đưa ra yêu cầu, máy chủ sẽ kiểm tra xem mã thông báo CSRF từ trình duyệt có khớp với mã thông báo được lưu trữ trên máy chủ hay không trước khi xác thực bất kỳ hành động nào.

3. Lỗ hổng của thư viện bên thứ ba

Các lập trình viên thường tích hợp các gói và thư viện bên ngoài để tăng cường chức năng ứng dụng và tăng tốc độ phát triển. Nhưng việc tích hợp các thư viện bên thứ ba có thể gây ra rủi ro bảo mật cho ứng dụng JavaScript của bạn.

Vào ngày 26 tháng 3 năm 2019, thư viện Bootstrap-Sass phiên bản (3.2.0.2) đã bị xóa khỏi kho lưu trữ RubyGems chính thức và được thay thế bằng phiên bản bị xâm nhập (3.2.0.3) cho phép thực thi mã từ xa. May mắn thay, một người dùng đã nhận thấy sự bất thường này và thông báo cho những người bảo trì Bootstrap-Sass, những người đã nhanh chóng giải quyết vấn đề.

Trước khi tích hợp thư viện bên thứ ba vào ứng dụng của bạn, hãy kiểm tra xem có lỗ hổng nào không và đảm bảo rằng thư viện đó được duy trì thường xuyên và cập nhật. Tránh các thư viện yêu cầu quá nhiều quyền. Thực hiện các biện pháp phòng ngừa này sẽ giúp bảo vệ bảo mật ứng dụng của bạn.

4. Deserialization không an toàn

Serialization rất quan trọng trong các ứng dụng vì dữ liệu phải được lưu trữ và truyền ở định dạng mà các hệ thống khác có thể dễ dàng đọc và diễn giải. Nó liên quan đến việc chuyển đổi dữ liệu thành định dạng mà hệ thống có thể đọc được (chẳng hạn như JSON, XML hoặc nhị phân) trước khi nó có thể được truyền hoặc lưu trữ trong hệ thống.

Deserialization là quá trình ngược lại của quá trình này: nó lấy dữ liệu được tuần tự hóa từ hệ thống và trả lại về dạng ban đầu. Bạn có thể nghĩ về serialization như việc đông lạnh thực phẩm để bảo quản và deserialization như việc rã đông chúng trước khi sử dụng. Deserialization không an toàn xảy ra khi quá trình sao chép dữ liệu từ dạng tuần tự hóa sang dạng ban đầu bị chặn và thao túng bởi kẻ tấn công.

Deserialization không an toàn rất nguy hiểm, vì kẻ tấn công có thể sử dụng điều này để thay đổi hành vi của ứng dụng, cấp cho bản thân quyền truy cập trái phép và thậm chí có thể dẫn đến việc thực thi mã từ xa. Để ngăn chặn deserialization không an toàn, cần phải xác thực đúng đầu vào của người dùng trước quá trình serialization.

5. Tấn công Prototype Pollution

JavaScript là một ngôn ngữ dựa trên nguyên mẫu. Điều này có nghĩa là khi một đối tượng được tạo, nó sẽ kế thừa các phương thức và thuộc tính thông qua một liên kết nội bộ đến một đối tượng khác, được gọi là nguyên mẫu của nó. Chức năng này cho phép nhiều đối tượng chia sẻ các phương thức và thuộc tính từ một nguyên mẫu duy nhất.

Quá trình này được thực hiện thông qua một cơ chế được gọi là chuỗi nguyên mẫu. Chuỗi nguyên mẫu là một liên kết của các nguyên mẫu. Khi bạn không thể truy cập một phương thức hoặc thuộc tính cụ thể từ một đối tượng, JavaScript sẽ tìm kiếm thông qua chuỗi nguyên mẫu cho đến khi tìm thấy phương thức hoặc thuộc tính và nó dừng lại khi chuỗi kết thúc bằng null.

Prototype pollution xảy ra khi kẻ tấn công chèn các thuộc tính hoặc phương thức vào nguyên mẫu của đối tượng, ảnh hưởng đến tất cả các đối tượng được liên kết với nguyên mẫu đó. Điều này có thể dẫn đến hỏng dữ liệu và thực thi mã từ xa. Để ngăn chặn prototype pollution, hãy sử dụng các phương thức nhân bản sâu và các thư viện có thể phát hiện và ngăn chặn prototype pollution.

6. Sự tin tưởng hoàn toàn vào xác thực phía máy khách

Một ứng dụng hoàn chỉnh (hoặc full-stack) thường bao gồm hai thành phần chính: phía máy khách (Front end) và phía máy chủ (Back end). Xác thực phía máy khách bao gồm việc kiểm tra dữ liệu đầu vào của người dùng để đảm bảo dữ liệu đáp ứng các yêu cầu của hệ thống trước khi gửi dữ liệu đến backend.

Xác thực phía máy khách rất quan trọng để cải thiện trải nghiệm của người dùng. Ví dụ: hiển thị thông báo lỗi khi người dùng để một phần biểu mẫu chưa điền, kiểm tra độ mạnh của mật khẩu hoặc đảm bảo rằng người dùng nhập đúng địa chỉ email.

Nhưng chỉ dựa vào xác thực phía máy khách có thể khiến ứng dụng dễ bị đe dọa bảo mật. Kẻ tấn công có thể bỏ qua JavaScript và đưa các tập lệnh độc hại vào máy chủ, dẫn đến thao túng dữ liệu, thực thi mã từ xa và truy cập trái phép vào ứng dụng.

Để đảm bảo mức độ bảo mật cao trong ứng dụng của bạn, cách tốt nhất là bạn nên xác thực cả ở phía máy khách và phía máy chủ.

7. Tiết lộ dữ liệu nhạy cảm

Việc lộ dữ liệu nhạy cảm xảy ra khi thông tin quan trọng như thông tin đăng nhập, khóa xác thực, khóa API hoặc thông tin nhận dạng cá nhân (PII) bị lộ, cho phép những cá nhân không được phép truy cập vào thông tin đó.

Việc tiết lộ dữ liệu nhạy cảm có thể xảy ra theo nhiều cách, chẳng hạn như:

  • Lưu trữ thông tin nhạy cảm (như mã thông báo xác thực) bằng cơ chế lưu trữ của trình duyệt như localstorage và sessionstorage.
  • Không mã hóa hoặc băm mật khẩu, để chúng ở dạng văn bản thuần túy.
  • Để khóa API của bạn hiển thị trong mã JavaScript.
  • Không mã hóa dữ liệu khi truyền đi bằng cách sử dụng HTTP thay vì HTTPS.

Rò rỉ dữ liệu nhạy cảm trong ứng dụng của bạn cũng giống như viết mã PIN trên thẻ tín dụng hoặc cất giữ đồ vật có giá trị trong két sắt không có khóa. Việc để lộ dữ liệu vào tay kẻ xấu có thể dẫn đến các vấn đề nghiêm trọng vì kẻ tấn công có thể đánh cắp thông tin đăng nhập hoặc mã xác thực của người dùng và lấy cắp các thông tin quan trọng khác.

Các Best practices tốt nhất để bảo mật ứng dụng JavaScript của bạn

1. Đảm bảo yếu tố đầu vào của người dùng được xác thực rõ ràng

Một trong những nguyên nhân chính khiến các ứng dụng JavaScript bị xâm phạm xuất phát từ dữ liệu đầu vào của người dùng chính là yếu tố đầu vào không được đảm bảo.

Kẻ tấn công có thể chèn mã độc vào các trường biểu mẫu hoặc khu vực trong ứng dụng nơi dữ liệu từ người dùng được tiếp nhận, do đó dẫn đến tấn công Cross-Site Scripting (XSS), tấn công SQL hoặc tấn công tiêm mã.

Hãy xem một ví dụ xác thực xem người dùng có nhập đúng định dạng email hay không.

  • Đầu tiên, bạn định nghĩa validateEmailhàm, hàm này nhận vào một tham số, email. Tham số email được mong đợi là một chuỗi chứa email của người dùng.
 function validateEmail(email){}
  • Tiếp theo, bạn định nghĩa biểu thức regex để kiểm tra xem một chuỗi nhất định có tuân thủ đúng định dạng email hay không.
 const emailRegex = /^[^\s@]+@[^\s@]+\.[^\s@]+$/;

Sau đó, bạn chỉ định một câu lệnh return để kiểm tra xem email của người dùng có khớp với định dạng emailRegex hay không. Ở đây, bạn sẽ sử dụng phương thức test() trả về giá trị boolean để xác nhận email có đúng định dạng hay không.

 return emailRegex.test(email)

Bây giờ bạn đã tạo được một hàm để xác thực email, bạn có thể sử dụng hàm này để cung cấp phản hồi khi người dùng nhập sai định dạng email.

const userEmail = "userEmail@example.com"
if(validateEmail(userEmail)){ alert("Email Registration Successful")
}
else{ alert("Please Enter The Correct Email")
}

Trong ví dụ trên, tôi đã sử dụng hàm validateEmail để cảnh báo người dùng nếu họ nhập đúng định dạng email hay không. Sau đây là mã đầy đủ bên dưới:

function validateEmail(email){ const emailRegex = /^[^\s@]+@[^\s@]+\.[^\s@]+$/; return emailRegex.test(email)
}
const userEmail = "userEmail@example.com"
if(validateEmail(userEmail)){ alert("Email Registration Successful")
}
else{ alert("Please Enter The Correct Email")
}

2. Triển khai chính sách bảo mật nội dung (CSP)

Một cách khác để bảo vệ ứng dụng của bạn là triển khai chính sách bảo mật nội dung (CSP). CSP cho phép bạn hạn chế quyền truy cập hoặc kiểm soát cách các tài nguyên bên ngoài như tập lệnh nội tuyến, hình ảnh hoặc phông chữ được tải trong trang web của bạn.

CSP giúp ngăn chặn các cuộc tấn công XSS, clickjacking và các hình thức tấn công tiêm mã khác. Hãy nghĩ về CSP như một người gác cổng chỉ cho phép khách được mời vào nhóm. CSP chỉ cho phép các tài nguyên do bạn xác định rõ ràng được tải vào trang web của bạn.

Để triển khai CSP trong ứng dụng web của bạn, hãy thêm chính sách vào tiêu đề HTTP của máy chủ. Bạn có thể cấu hình CSP bằng cách chỉ định loại tài nguyên nào (chẳng hạn như tập lệnh, kiểu hoặc hình ảnh) và tên miền nào được phép tải nội dung.

3. Đảm bảo dữ liệu trong quá trình truyền tải luôn được mã hóa bằng HTTPS

Trình duyệt và máy chủ liên tục giao tiếp với nhau. Dữ liệu như thông tin đăng nhập, mã thông báo xác thực hoặc thông tin thanh toán thường được gửi từ trình duyệt đến máy chủ.

Điều quan trọng là phải đảm bảo dữ liệu được truyền từ trình duyệt đến máy chủ được mã hóa, giữ nguyên dạng ban đầu và được gửi đến đúng vị trí hoặc máy chủ.

Một cách để thực hiện giao tiếp an toàn là sử dụng HTTPS (Giao thức truyền siêu văn bản an toàn). HTTPS là một giao thức được tạo ra để cải thiện tính bảo mật của việc truyền dữ liệu giữa trình duyệt và máy chủ. Nó đảm bảo rằng dữ liệu được gửi đến máy chủ không bị thay đổi và được bảo vệ khỏi sự đánh chặn của kẻ tấn công.

4. Sử dụng chế độ nghiêm ngặt (Strict mode)

Chỉ thị "use strict" trong JavaScript là một cách để viết mã JavaScript an toàn và chất lượng cao. Nó giúp ngăn chặn một số hành động trong mã của bạn có thể dẫn đến lỗi, sai sót hoặc lỗ hổng bảo mật.

Với chế độ nghiêm ngặt , JavaScript sẽ đánh dấu lỗi khi thực hiện một số hành động nhất định, chẳng hạn như truy cập các đối tượng toàn cục, sử dụng các biến chưa khai báo và mắc các lỗi mã hóa khác.

// Without strict mode
undeclaredVariable = 10; // No error, creates a global variable // With strict mode
'use strict';
undeclaredVariable = 10; // Error: "undeclaredVariable is not defined"

Bạn có thể coi chế độ nghiêm ngặt như một tập hợp các quy tắc hướng dẫn bạn những việc nên làm và không nên làm khi viết JavaScript.

Để triển khai chế độ nghiêm ngặt, chỉ cần thêm dòng sau vào đầu tập lệnh hoặc hàm của bạn.

'use strict'

5. Tránh sử dụng chức năng eval()

Một quy tắc trong lập trình đó là 'Không bao giờ tin tưởng đầu vào của người dùng'. Sử dụng hàm eval() này sẽ vi phạm quy tắc nêu trên, vì nó cho phép người dùng thực thi mã tùy ý trong chương trình của bạn. Bằng cách chuyển đầu vào của người dùng đến eval(), về cơ bản bạn cho phép họ chạy bất kỳ mã nào, điều này có thể dẫn đến lỗ hổng bảo mật nghiêm trọng.

Lý do đó là hàm eval() này coi đối số của nó là mã và có thể thực thi biểu thức, hàm hoặc thậm chí là chuỗi. Mặc dù tính năng này rất mạnh mẽ, nhưng nó cũng cực kỳ nguy hiểm.

Kẻ tấn công có thể chèn mã độc, mã eval() sẽ thực thi mà không phân biệt. Điều này mở ra cánh cửa cho các lỗ hổng như sửa đổi các biến toàn cục, tạo ra các biến mới hoặc thậm chí thực thi mã từ xa.

Để ngăn ngừa lỗ hổng bảo mật, hãy tránh sử dụng hàm eval() này trong mã của bạn và thay vào đó hãy cân nhắc các giải pháp thay thế khác.

6. Luôn thực hiện Đánh giá mã

Trước khi đưa mã của bạn vào sản xuất, điều quan trọng là phải có sự xem xét của các lập trình viên khác .

Đôi khi, chúng ta có thể bỏ qua các lỗi hoặc các khu vực dễ bị tổn thương trong chương trình của mình. Nhận trợ giúp từ đồng nghiệp hoặc các nhà phát triển cấp cao có thể giúp phát hiện các lỗi đó, xác định các lỗ hổng, cải thiện chất lượng mã và đảm bảo rằng mã của bạn đáp ứng các tiêu chuẩn cần thiết.

Trong quá trình xem xét mã, điều quan trọng là bạn phải cởi mở và sẵn sàng sửa lỗi, tránh thái độ quá phòng thủ và hiểu rằng đây là cơ hội để bạn học hỏi và phát triển.

7. Thực hiện kiểm tra thâm nhập thường xuyên

Kiểm tra thâm nhập bao gồm việc mô phỏng một cuộc tấn công vào ứng dụng theo cùng cách mà một kẻ tấn công thực sự sẽ làm, với mục tiêu là phát hiện ra các lỗ hổng bảo mật trong ứng dụng.

Kiểm thử thâm nhập nhằm mục đích phát hiện ra lỗ hổng trước khi kẻ tấn công phát hiện ra. Người kiểm thử thâm nhập không chỉ xác định điểm yếu mà còn cung cấp giải pháp để giải quyết chúng.

Hãy nghĩ về việc kiểm tra xâm nhập giống như việc xây nhà, lắp đặt hệ thống an ninh, rồi thuê trộm đột nhập. Nếu chúng thành công, bạn có thể xác định điểm yếu trong hệ thống phòng thủ của mình và cải thiện để gia cố ngôi nhà.

Bạn có thể tiến hành kiểm tra thâm nhập bằng cách thuê chuyên gia kiểm tra thâm nhập chuyên nghiệp và có kinh nghiệm hoặc sử dụng nhiều công cụ khác nhau như Burp Suite , Nmap và Kali Linux .

Kết luận

Bảo mật là một khía cạnh quan trọng của quá trình phát triển JavaScript mà nhiều lập trình viên thường bỏ qua khi xây dựng ứng dụng. Bài viết này đã giới thiệu cho bạn các lỗ hổng bảo mật phổ biến trong JavaScript, bao gồm Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) và insecure deserialization.

Bạn cũng đã biết được lý do tại sao bảo mật lại quan trọng và khám phá nhiều bước khác nhau để bảo mật ứng dụng JavaScript của mình, chẳng hạn như tiến hành đánh giá mã thường xuyên và xác thực dữ liệu đầu vào của người dùng cùng các ví dụ khác.

Cảm ơn các bạn đã theo dõi.

Bình luận

Bài viết tương tự

- vừa được xem lúc

Giới thiệu Typescript - Sự khác nhau giữa Typescript và Javascript

Typescript là gì. TypeScript là một ngôn ngữ giúp cung cấp quy mô lớn hơn so với JavaScript.

0 0 528

- vừa được xem lúc

Bạn đã biết các tips này khi làm việc với chuỗi trong JavaScript chưa ?

Hi xin chào các bạn, tiếp tục chuỗi chủ đề về cái thằng JavaScript này, hôm nay mình sẽ giới thiệu cho các bạn một số thủ thuật hay ho khi làm việc với chuỗi trong JavaScript có thể bạn đã hoặc chưa từng dùng. Cụ thể như nào thì hãy cùng mình tìm hiểu trong bài viết này nhé (go).

0 0 437

- vừa được xem lúc

Một số phương thức với object trong Javascript

Trong Javascript có hỗ trợ các loại dữ liệu cơ bản là giống với hầu hết những ngôn ngữ lập trình khác. Bài viết này mình sẽ giới thiệu về Object và một số phương thức thường dùng với nó.

0 0 159

- vừa được xem lúc

Tìm hiểu về thư viện axios

Giới thiệu. Axios là gì? Axios là một thư viện HTTP Client dựa trên Promise.

0 0 149

- vừa được xem lúc

Imports và Exports trong JavaScript ES6

. Giới thiệu. ES6 cung cấp cho chúng ta import (nhập), export (xuất) các functions, biến từ module này sang module khác và sử dụng nó trong các file khác.

0 0 113

- vừa được xem lúc

Bài toán đọc số thành chữ (phần 2) - Hoàn chỉnh chương trình dưới 100 dòng code

Tiếp tục bài viết còn dang dở ở phần trước Phân tích bài toán đọc số thành chữ (phần 1) - Phân tích đề và những mảnh ghép đầu tiên. Bạn nào chưa đọc thì có thể xem ở link trên trước nhé.

0 0 249