Web前端安全探秘：技术理论与现实应用

网络上有一款Web安全产品，名为“Witch-Cape”，实现的就是上述功能，其对自身的定位即是：前端WAF!从名字上就可以猜测，这就是一款在前端实现WAF功能的产品。

Witch-Cape是SDK式的脚本，从网站可以直接下载。使用起来也非常方便，就是加载一个JS文件就可以了。就可以了，没有其它，果然简单!

接下来，用事实说话，测试其是否真实有效。比如测试自动化攻击防护：

首先准备测试代码：

这段测试代码模拟了类似撞库或暴力破解之类的自动化攻击。未接入Witch-Cape前，当运行脚本程序，会自动填写用户名、密码。如下图：

在页面中引入一行：

script src="anti_automated_attack.js" 

这是Witch-Cape的反自动化攻击模块，然后再次尝试之前的运行，会发现：无法自动输入密码，自动化脚本运行出错，攻击被成功阻止：

再进一步测试，使用自动按键软件：按键精灵。录制屏幕并自动输入内容。保护前，可自动输入：

保护后，按键模拟无效：

这个测试证明：Witch-Cape可以防止自动按键模拟软件发起的攻击。

用这一个测试、实验，说明前端是可以进行Web安全防护的。

篇幅所限，其它更多的功能，如：SQL注入、XSS、CSRF等等这里就不逐一进行测试了。应该相信“全都是真的”。

Web前端安全的现实意义

一方面，它解决了传统Web安全防护的盲点，比如JS代码安全问题，这是它的功能意义。另一方面，它尝试以一种低成本的方式，换了一个阵地解决Web安全防护问题。

在实现中，很多中小企业、政府的网站，，有安全防护的需要，不单是合规性需求，而且是真实性需求。但很多时候没有足够的资金用于采购昂贵的WAF。Web前端安全技术、产品的发展，在很大程度上可以解决这类刚需群体的实际需求。

【编辑推荐】

1. CSRF攻击与防御，Web安全的第一防线（源码，实战，5分钟科普文）
2. 你不知道这10个Web安全漏洞，就别说自己是黑客
3. 你不知道的Web前端安全技术
4. 企业安全体系建设之路之Web安全篇
5. 3大Web安全漏洞防御详解：XSS、CSRF、以及SQL注入解决方案

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!