0x00 前言
在我们的上一篇文章《可信前端之路-代码保护》 中,我们提到了希望打造一个web可信系统(Trusted system),通过代码保护来提高前端环境的安全性,今天,我们从另一个完全不同的角度继续探讨如何打造可信前端之路。
0x01 背景
安全防护的核心就是保护数据。一个web系统,本质就是数据输入输出的过程,输出端安全也就是后端安全重要
性不言而喻,也有了很多较为成熟的防御方案,能够保障输出端处在安全可靠的环境中。但是输入端也就是前端环境的安全性一直无法得到有效的保障,长期处于『永远不要相信前端的输入』状态。
在数据时代,每一个真实用户的数据都是企业的重要资产。垃圾注册、刷单、撞库、薅羊毛、恶意广告点击等行为更是会给企业带来直接的经济损失,在这些场景下,保护输入端数据可信的重要性日渐彰显。然而由于前端环境的特殊性,js源码和http请求都将服务端所需数据暴露在外,破坏者可以轻易的用机器批量伪造大量恶意请求,混入真实用户请求之中,真假难辨。因此,前端输入的不可信和企业对真实用户数据的强烈需求形成了很大的矛盾。