前端html源碼不暴露介面

1. 寫代碼不暴露介面什麼意思大神

你可以理解為，不要讓使用者用特別方便的方法，看見你創建的對象的方法的源代碼，或者函數的源代碼。
這樣就會趁機找漏洞，例如類型沒有做轉換，或者使用了一些其他變數，也會被使用者看見。
如果有意無意的修改了那些東西，或者傳入了不該傳入的東西。就會導致程序不按正常套路走。
簡單說，就是不要讓使用者（不那麼容易或不能）看不見 API 的內部實現。

2. 我從網上下載了一個html源碼，怎麼才能判斷他裡面有沒有後門啊大俠們推薦個最簡單，最准確的方法，謝謝

html源碼？你確定所有網頁文件都是HTML格式嗎？如果是就不用判斷了，100%沒有後門。
後門代碼需要可執行的動態文件頁面，擴展名一般為.asp,.php等，還要你伺服器開通了項服務才行。
如果你的網站里包含以上文件的話，我可以告訴你，沒有簡單的辦法去判斷它是否有後門，最簡單的辦法恐怕是去下載網站看看評論了，要麼把網站代碼發給高手門看一下。
正規的辦法一行行去查看代碼是否可能為後門，全部看完很費時費力，當然如果你很輕松的能看明白這些一行行的代碼，你就不如自己寫代碼了。
當然還有「asp 木馬檢測工具」等輔助工具，但它們只是把包含有危險語句的文件找出來而異，但正常的網頁文件也可能包含這些語句，如果還是要自己來判斷。
大體情況這是這樣了。

3. 怎麼保證對外暴露介面的安全性

現在很多網站都要用到api介面了吧~而且有些程序和網站通訊也必須用到介面。不過介面的最主要安全問題就是邏輯判斷的問題比如最常見的就是支付介面，支付介面。舉個例子，比如這是某支付的介面的判斷處理

這只是個簡化版的~只提取了部分的漏洞，好吧orderID打成了orederid了。湊合著吧~然後寫個html模擬post提交

不過現在部分支付介面都修復了這個漏洞，改成了主動到伺服器上查詢支付狀態~而不是被動等待伺服器返回~但是仍然有一些支付公司沒有修復這個漏洞，比如國外某機房的面板，而且這個面板還是很多人都用的收費面板~他的信用卡支付的地方就沒有進行驗證，如果有賬單，選信用卡，用firebug之類的改一個別人的信用卡ID，就可以用別人的信用卡支付（強烈不推薦！！並bs此行為）還有一種漏洞就是程序與web進行通訊，上次在eyuyan.com上看到的~我一看他寫的與web進行通訊驗證的時候的介面，沒有對sql注入做任何過濾~

4. HTML5技術分享 淺談前端安全以及如何防範

隨著互聯網的發達，各種WEB應用也變得越來越復雜，滿足了用戶的各種需求，但是隨之而來的就是各種網路安全的問題。作為前端開發行業的我們也逃不開這個問題。所以今天我就簡單聊一聊WEB前端安全以及如何防範。

首先前端攻擊都有哪些形式，我們該如何防範?

一、XSS攻擊

XSS是一種經常出現在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植 入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻 擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型 的漏洞由於被黑客用來編寫危害性更大的網路釣魚(Phishing)攻擊而變得廣為人知。

XSS攻擊的危害包括：

1、盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號

2、控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力

3、盜竊企業重要的具有商業價值的資料

4、非法轉賬

5、強制發送電子郵件

6、網站掛馬

7、控制受害者機器向其它網站發起攻擊

XSS攻擊的具體表現：

1、javaScript代碼注入

下面是代碼的頁面

2 接著，我們在cheat.php這個網站上面，將跳轉過來的源網頁地址悄悄的進行修改。

於是，在用戶訪問了我們的欺騙網站後，之前的tab已經悄然發生了變化，我們將其悄悄的替換為了釣魚的網站，欺騙用戶輸入用戶名、密碼等。

3 我們的釣魚網站，偽裝成XX空間，讓用戶輸入用戶名與密碼

這種釣魚方式比較有意思，重點在於我們比較難防住這種攻擊，我們並不能將所有的頁面鏈接都使用js打開。所以，要麼就將外鏈跳轉的連接改為當前頁面跳轉，要麼就在頁面unload的時候給用戶加以提示，要麼就將頁面所有的跳轉均改為window.open，在打開時，跟大多數釣魚防治殊途同歸的一點是，我們需要網民們的安全意識提高。

六、我們平時開發要注意些什麼?

開發時要提防用戶產生的內容，要對用戶輸入的信息進行層層檢測要注意對用戶的輸出內容進行過濾(進行轉義等)重要的內容記得要加密傳輸(無論是利用https也好，自己加密也好)

get與post請求，要嚴格遵守規范，不要混用，不要將一些危險的提交使用jsonp完成。

對於URL上攜帶的信息，要謹慎使用。心中時刻記著，自己的網站哪裡可能有危險。

5. 關於HTML前端

這要看什麼框架了，像tp框架根目錄不是www目錄

你要從域名解析根目錄找起，順著解析根目錄找到對應文件夾，然後就能找到相關圖片了

6. html頁面如何讓別人看不到頁面源代碼!

防止查看網頁源代碼的方法：

<html>

<head>

<script language="javascript">

function clear（）{

Source=document.body.firstChild.data;

document.open（）；

document.close（）；

document.title="看不到源代碼";

document.body.innerHTML=Source;

}

</script>

</head>

<body οnlοad=clear（）>

<!--

<a href="http://www.jdkjweb.com>炬點網</a>源代碼好像是不讓看的！-->

</body>

</html>

(6)前端html源碼不暴露介面擴展閱讀

HTML 頁面中的 SVG

SVG 文件可通過以下標簽嵌入 HTML 文檔：<embed>、<object> 或者 <iframe>。

HTML 頁面中的 SVG

下面，你會看到三種把 SVG 文件嵌入 HTML 頁面的不同方法。

使用 <embed> 標簽

<embed> 標簽被所有主流的瀏覽器支持，並允許使用腳本。

注釋：當在 HTML 頁面中嵌入 SVG 時使用 <embed> 標簽是 Adobe SVG Viewer 推薦的方法！然而，如果需要創建合法的 XHTML，就不能使用 <embed>。任何 HTML 規范中都沒有 <embed> 標簽。

語法：

<embed src="rect.svg" width="300" height="100"

type="image/svg+xml"

pluginspage="http://www.adobe.com/svg/viewer/install/" />

7. Web前端開發規范之HTML規范

今天小編要跟大家分享的文章是關於Web前端開發規范之HTML規范。Web前端作為開發團隊中不可或缺的一部分，需要按照相關規定進行合理編寫(一部分不良習慣可能給自己和他人造成不必要的麻煩)。不同公司不同團隊具有不同的規范和文檔。下面是根據不同企業和團隊的要求進行全面詳細的整理結果。來和小編一起看一看HTML規范的原則吧！

HTML規范


1、文檔類型聲明及編碼：統一為html5聲明類型。書寫時利用IDE實現層次分明的縮進(默認縮進4空格)。


2、非特殊情況下CSS文件放在body部分標簽後。非特殊情況下大部分JS文件放在標簽尾部(如果需要界面未載入前執行的代碼可以放在head標簽後)避免行內JS和CSS代碼。


3、所有編碼需要遵循html(XML)標准，標簽&屬性&屬性命名必須由小寫字母及下劃線數字組成，且所有標簽必須閉合，包括br()，hr()等。屬性值用雙引號。


4、引入JS庫文件，文件名須包含庫名稱及版本號及是否為壓縮版，比如jquery-1.4.1.min.js。引入插件，文件名格式為庫名稱+插件名稱，比如jQuery.bootstrap.js。


5、書寫頁面過程中，請考慮向後擴展性。class&id參見css書寫規范.


6、需要為html元素添加自定義屬性的時候，首先要考慮下有沒有默認的已有的合適標簽去設置，如果沒有，可以使用須以"data-"為前綴來添加自定義屬性，避免使用"data："等其他命名方式。


7、語義化html，如標題根據重要性用h*(同一頁面只能有一個h1)，段落標記用p，列表用ul，內聯元素中不可嵌套塊級元素。


8、盡可能減少div多層級嵌套。


9、書寫鏈接地址時，必須避免重定向，例如：href="http：//#/"，即須在URL地址後面加上「/」;


10、在頁面中盡量避免使用style屬性，即style=""。


11、必須為含有描述性表單元素(input，textarea)添加label，如姓名：須寫成：姓名：


12、能以背景形式呈現的圖片，盡量寫入css樣式中。


13、重要圖片必須加上alt屬性。給重要的元素和截斷的元素加上title。


14、給區塊代碼及重要功能(比如循環)加上注釋，方便後台添加功能。


15、特殊符號使用：盡可能使用代碼替代：比如<(<)&>(>)&空格()&_(_)等等。


以上就是小編今天為大家分享的關於Web前端開發規范之HTML規范的文章，希望本篇文章能夠對正在從事Web前端工作的小夥伴們有所幫助，想要了解更多Web前端知識記得關注北大青鳥Web培訓官網，最後祝願小夥伴們工作順利，成為一名優秀的Web前端工程師。

8. php調用介面的數據在html頁面顯示不出來，但在源代碼數據都是由的，怎麼回事呀

你數據在程序裡面轉為 gbk了，但是頁面默認是utf8格式的吧，兩遍不一致導致的，發個header("Content-Type:text/html;charset=utf-8"); 兩遍編碼要一致！

9. 能不能隱藏HTML源代碼里的地址(url\sre\href)

<html>
<head>
<script>
function clear(){
Source=document.body.firstChild.data;
document.open();
document.close();
document.title="看不到源代碼";
document.body.innerHTML=Source;
}</script>
</head>
<body onload=clear()>
<!--
<marquee>看得到源代碼嗎？</marquee>
-->
</body>
</html>