對稱加密與非對稱加密
「對稱加密」就是通訊雙方進行加密與解密使用相同的金耀,但除了雙方都要保守金鑰外,怎麼讓雙方都持有相同的金鑰本身就是個問題,存在被劫持的風險(中間人攻擊)。「非對稱加密」透過一對金鑰(Key Pair),也就是公鑰與私鑰來解決對稱加密會遇到的問題。
「對稱加密」就是通訊雙方進行加密與解密使用相同的金耀,但除了雙方都要保守金鑰外,怎麼讓雙方都持有相同的金鑰本身就是個問題,存在被劫持的風險(中間人攻擊)。「非對稱加密」透過一對金鑰(Key Pair),也就是公鑰與私鑰來解決對稱加密會遇到的問題。
不少網站登入時都有關於「Single Sign-On」的選項,像是只要登入 Google 帳號,就可以橫跨不同服務如 YouTube、Gmail,從痛點了解 SSO 如何解決多個服務間登入造成的潛在問題與相關流程,打造更方便與安全的登入體驗。
JWT 也就是 JSON Web Token,一個基於 RFC 751 的標準,可用於在兩個實體(如前端和後端)間進行 JSON 物件的傳輸。由 header、payload、signature 三種資料所構成,透過 . 來區隔並使用 Base64 編碼以便傳輸。
驗證(Authentication)與授權(Authorization)是存取控制中兩個常被混淆的概念,背後分別代表兩種問題:你是誰?你被允許做哪些事?同時也將介紹幾種常見的授權模式,例如 RBAC 與 ABAC 管理授權。
CORS (Cross-Origin Resource Sharing) 跨來源資源共享,是一個機制用來決定網頁是否能夠存取其他來源的資源,能有效防止不同來源之間的不正當資源存取。透過 CORS,可以在保護用戶資料的同時,允許合法的跨來源請求。
無論如何都不輕易相信用戶請求即能最大程度防範 CSRF。最近在碰一些資安的東東,發現自己對於這一塊知識都比較薄弱,身為前端工程師資安通常並不是首要關注的職責,但一但有漏洞保證後果不堪設想,於是近期來補足一下這方面的知識。
總結是無論如何都不輕易相信用戶輸入即能最大程度防範 XSS。最近在碰一些資安的東東,發現自己對於這一塊知識都比較薄弱,身為前端工程師資安通常並不是首要關注的職責,但一但有漏洞保證後果不堪設想,於是近期來補足一下這方面的知識。現代齊全的工具與文件幫助下意外執行用戶提供的惡意腳本的機率已經大幅降低。