前端html源码不暴露接口

1. 写代码不暴露接口什么意思大神

你可以理解为，不要让使用者用特别方便的方法，看见你创建的对象的方法的源代码，或者函数的源代码。
这样就会趁机找漏洞，例如类型没有做转换，或者使用了一些其他变量，也会被使用者看见。
如果有意无意的修改了那些东西，或者传入了不该传入的东西。就会导致程序不按正常套路走。
简单说，就是不要让使用者（不那么容易或不能）看不见 API 的内部实现。

2. 我从网上下载了一个html源码，怎么才能判断他里面有没有后门啊大侠们推荐个最简单，最准确的方法，谢谢

html源码？你确定所有网页文件都是HTML格式吗？如果是就不用判断了，100%没有后门。
后门代码需要可执行的动态文件页面，扩展名一般为.asp,.php等，还要你服务器开通了项服务才行。
如果你的网站里包含以上文件的话，我可以告诉你，没有简单的办法去判断它是否有后门，最简单的办法恐怕是去下载网站看看评论了，要么把网站代码发给高手门看一下。
正规的办法一行行去查看代码是否可能为后门，全部看完很费时费力，当然如果你很轻松的能看明白这些一行行的代码，你就不如自己写代码了。
当然还有“asp 木马检测工具”等辅助工具，但它们只是把包含有危险语句的文件找出来而异，但正常的网页文件也可能包含这些语句，如果还是要自己来判断。
大体情况这是这样了。

3. 怎么保证对外暴露接口的安全性

现在很多网站都要用到api接口了吧~而且有些程序和网站通讯也必须用到接口。不过接口的最主要安全问题就是逻辑判断的问题比如最常见的就是支付接口，支付接口。举个例子，比如这是某支付的接口的判断处理

这只是个简化版的~只提取了部分的漏洞，好吧orderID打成了orederid了。凑合着吧~然后写个html模拟post提交

不过现在部分支付接口都修复了这个漏洞，改成了主动到服务器上查询支付状态~而不是被动等待服务器返回~但是仍然有一些支付公司没有修复这个漏洞，比如国外某机房的面板，而且这个面板还是很多人都用的收费面板~他的信用卡支付的地方就没有进行验证，如果有账单，选信用卡，用firebug之类的改一个别人的信用卡ID，就可以用别人的信用卡支付（强烈不推荐！！并bs此行为）还有一种漏洞就是程序与web进行通讯，上次在eyuyan.com上看到的~我一看他写的与web进行通讯验证的时候的接口，没有对sql注入做任何过滤~

4. HTML5技术分享 浅谈前端安全以及如何防范

随着互联网的发达，各种WEB应用也变得越来越复杂，满足了用户的各种需求，但是随之而来的就是各种网络安全的问题。作为前端开发行业的我们也逃不开这个问题。所以今天我就简单聊一聊WEB前端安全以及如何防范。

首先前端攻击都有哪些形式，我们该如何防范?

一、XSS攻击

XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植 入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻 击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型 的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。

XSS攻击的危害包括：

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

XSS攻击的具体表现：

1、javaScript代码注入

下面是代码的页面

2 接着，我们在cheat.php这个网站上面，将跳转过来的源网页地址悄悄的进行修改。

于是，在用户访问了我们的欺骗网站后，之前的tab已经悄然发生了变化，我们将其悄悄的替换为了钓鱼的网站，欺骗用户输入用户名、密码等。

3 我们的钓鱼网站，伪装成XX空间，让用户输入用户名与密码

这种钓鱼方式比较有意思，重点在于我们比较难防住这种攻击，我们并不能将所有的页面链接都使用js打开。所以，要么就将外链跳转的连接改为当前页面跳转，要么就在页面unload的时候给用户加以提示，要么就将页面所有的跳转均改为window.open，在打开时，跟大多数钓鱼防治殊途同归的一点是，我们需要网民们的安全意识提高。

六、我们平时开发要注意些什么?

开发时要提防用户产生的内容，要对用户输入的信息进行层层检测要注意对用户的输出内容进行过滤(进行转义等)重要的内容记得要加密传输(无论是利用https也好，自己加密也好)

get与post请求，要严格遵守规范，不要混用，不要将一些危险的提交使用jsonp完成。

对于URL上携带的信息，要谨慎使用。心中时刻记着，自己的网站哪里可能有危险。

5. 关于HTML前端

这要看什么框架了，像tp框架根目录不是www目录

你要从域名解析根目录找起，顺着解析根目录找到对应文件夹，然后就能找到相关图片了

6. html页面如何让别人看不到页面源代码!

防止查看网页源代码的方法：

<html>

<head>

<script language="javascript">

function clear（）{

Source=document.body.firstChild.data;

document.open（）；

document.close（）；

document.title="看不到源代码";

document.body.innerHTML=Source;

}

</script>

</head>

<body οnlοad=clear（）>

<!--

<a href="http://www.jdkjweb.com>炬点网</a>源代码好像是不让看的！-->

</body>

</html>

(6)前端html源码不暴露接口扩展阅读

HTML 页面中的 SVG

SVG 文件可通过以下标签嵌入 HTML 文档：<embed>、<object> 或者 <iframe>。

HTML 页面中的 SVG

下面，你会看到三种把 SVG 文件嵌入 HTML 页面的不同方法。

使用 <embed> 标签

<embed> 标签被所有主流的浏览器支持，并允许使用脚本。

注释：当在 HTML 页面中嵌入 SVG 时使用 <embed> 标签是 Adobe SVG Viewer 推荐的方法！然而，如果需要创建合法的 XHTML，就不能使用 <embed>。任何 HTML 规范中都没有 <embed> 标签。

语法：

<embed src="rect.svg" width="300" height="100"

type="image/svg+xml"

pluginspage="http://www.adobe.com/svg/viewer/install/" />

7. Web前端开发规范之HTML规范

今天小编要跟大家分享的文章是关于Web前端开发规范之HTML规范。Web前端作为开发团队中不可或缺的一部分，需要按照相关规定进行合理编写(一部分不良习惯可能给自己和他人造成不必要的麻烦)。不同公司不同团队具有不同的规范和文档。下面是根据不同企业和团队的要求进行全面详细的整理结果。来和小编一起看一看HTML规范的原则吧！

HTML规范


1、文档类型声明及编码：统一为html5声明类型。书写时利用IDE实现层次分明的缩进(默认缩进4空格)。


2、非特殊情况下CSS文件放在body部分标签后。非特殊情况下大部分JS文件放在标签尾部(如果需要界面未加载前执行的代码可以放在head标签后)避免行内JS和CSS代码。


3、所有编码需要遵循html(XML)标准，标签&属性&属性命名必须由小写字母及下划线数字组成，且所有标签必须闭合，包括br()，hr()等。属性值用双引号。


4、引入JS库文件，文件名须包含库名称及版本号及是否为压缩版，比如jquery-1.4.1.min.js。引入插件，文件名格式为库名称+插件名称，比如jQuery.bootstrap.js。


5、书写页面过程中，请考虑向后扩展性。class&id参见css书写规范.


6、需要为html元素添加自定义属性的时候，首先要考虑下有没有默认的已有的合适标签去设置，如果没有，可以使用须以"data-"为前缀来添加自定义属性，避免使用"data："等其他命名方式。


7、语义化html，如标题根据重要性用h*(同一页面只能有一个h1)，段落标记用p，列表用ul，内联元素中不可嵌套块级元素。


8、尽可能减少div多层级嵌套。


9、书写链接地址时，必须避免重定向，例如：href="http：//#/"，即须在URL地址后面加上“/”;


10、在页面中尽量避免使用style属性，即style=""。


11、必须为含有描述性表单元素(input，textarea)添加label，如姓名：须写成：姓名：


12、能以背景形式呈现的图片，尽量写入css样式中。


13、重要图片必须加上alt属性。给重要的元素和截断的元素加上title。


14、给区块代码及重要功能(比如循环)加上注释，方便后台添加功能。


15、特殊符号使用：尽可能使用代码替代：比如<(<)&>(>)&空格()&_(_)等等。


以上就是小编今天为大家分享的关于Web前端开发规范之HTML规范的文章，希望本篇文章能够对正在从事Web前端工作的小伙伴们有所帮助，想要了解更多Web前端知识记得关注北大青鸟Web培训官网，最后祝愿小伙伴们工作顺利，成为一名优秀的Web前端工程师。

8. php调用接口的数据在html页面显示不出来，但在源代码数据都是由的，怎么回事呀

你数据在程序里面转为 gbk了，但是页面默认是utf8格式的吧，两遍不一致导致的，发个header("Content-Type:text/html;charset=utf-8"); 两遍编码要一致！

9. 能不能隐藏HTML源代码里的地址(url\sre\href)

<html>
<head>
<script>
function clear(){
Source=document.body.firstChild.data;
document.open();
document.close();
document.title="看不到源代码";
document.body.innerHTML=Source;
}</script>
</head>
<body onload=clear()>
<!--
<marquee>看得到源代码吗？</marquee>
-->
</body>
</html>