在我们的上一篇文章《可信前端之路-代码保护》 中,我们提到了希望打造一个web可信系统(Trusted system),通过代码保护来提高前端环境的安全性,今天,我们从另一个完全不同的角度继续探讨如何打造可信前端之路。
安全防护的核心就是保护数据。一个web系统,本质就是数据输入输出的过程,输出端安全也就是后端安全重要
性不言而喻,也有了很多较为成熟的防御方案,能够保障输出端处在安全可靠的环境中。但是输入端也就是前端环境的安全性一直无法得到有效的保障,长期处于『永远不要相信前端的输入』状态。
在数据时代,每一个真实用户的数据都是企业的重要资产。垃圾注册、刷单、撞库、薅羊毛、恶意广告点击等行为更是会给企业带来直接的经济损失,在这些场景下,保护输入端数据可信的重要性日渐彰显。然而由于前端环境的特殊性,js源码和http请求都将服务端所需数据暴露在外,破坏者可以轻易的用机器批量伪造大量恶意请求,混入真实用户请求之中,真假难辨。因此,前端输入的不可信和企业对真实用户数据的强烈需求形成了很大的矛盾。
在信息安全领域,可信系统(Trusted system)是一个让人心动的目标,它指的是一个通过实施特定的安全策略而达到一定可信程度的系统。
在计算机中,可信平台模块(Trusted Platform Module,TPM)已经投入使用,它符合可信赖计算组织(Trusted Computing Group,TCG)制定的TPM规范,是为了实现可信系统目标的而打造的一款安全芯片。作为可信系统的信任根,TPM是可信计算的核心模块,为计算机安全提供了强有力的保障。
this是JavaScript中的著名月经题,每隔一段时间就有人翻出了拿各种奇怪的问题出来讨论,每次都会引发一堆口水之争。从搜索引擎搜了一下现在的比较热门的关于this的用法,如:Javascript的this用法 、深入理解JavaScript中的this关键字 、你不知道的this 等文章几乎都是从现象出发,总结this在不同场景下的指向结果,如同江湖郎中一般,都没有从根本上解释现象出现的原因,这就导致每次有了关于this的题层出不穷,因为经验总结只是教会了你现有的场景,而没有教会你如何解释新的场景。
老司机都知道,发展到今天,有规范在,有源码在,早已经不是IE6时代,还需要总结使用经验场景也太不科学了。最近又在网上刷到关于this的讨论,正巧在规范中追寻过this的秘密,在这里分享一下个人经验。
*以下规范均引用ES5
https://developer.mozilla.org/en/docs/Web/JavaScript/Reference/Functions/Arrow_functions
a => b; 参数 a , 返回 b
(a, b) => {var temp = 1; return a + b;} 多条语句和多条参数,用括号包裹