前端安全——敏感信息泄露

背景

随着 Web 应用程序的普及和用户数据价值的提升，前端安全问题日益凸显。前端应用中的敏感信息（如用户名、密码、信用卡号等）容易受到各种安全威胁，如 XSS 攻击、CSRF 攻击和源代码泄露等。这些威胁不仅影响用户体验，还可能导致严重的数据泄露事件，因此保护前端敏感信息成为了一个至关重要的议题。

示例

假设你在 Vue 项目中定义一些理敏感信息，例如一些用户信息：

<template><div><h1>个人信息</h1></div></template><script>exportdefault{
  name:"leakageInfo",data(){return{
      userList:['Z张三','L李四','W王五','Z赵六','S孙七','Z周八 '],// 示例敏感信息};},};</script>

上述代码在

data

里定义了一个用户数组

sensitiveInfo

，虽然没有使用，但是在浏览器里面还是能通过源码查找到数据

解决方法

1. 通过调用后端 API 接口获取

将数据存储在后端服务器上，并通过 API 接口动态获取。这样可以确保数据不会直接暴露在前端代码中。

<template><div><h1>个人信息</h1></div></template><script>import{ getUserList }from'@/api/user.js';exportdefault{
  name:"leakageInfo",data(){return{
      userList:[],};},created(){this.getNameList();},
  methods:{getNameList(){getUserList().then(res=>{
        console.log('res::: ', res);this.userList = res.data.userList;})}}};</script>

调用接口 api 获取数据，在浏览器控制台 Network 能查看接口请求体与响应体内容，这就需要对接口请求内容进行加密
接口加解密参考文档: 前端使用 crypto-js 库 aes加解密

2. 使用

webpack-obfuscator

插件对代码进行混淆，使原始代码变得难以阅读和理解，从而避免了信息泄露

安装

npminstall [email protected] [email protected] --save-dev
# 或者yarnadd [email protected] [email protected] --dev

在 vue.config.js 文件里配置

const ObfuscatorPlugin =require('webpack-obfuscator');const{ defineConfig }=require('@vue/cli-service');

module.exports =defineConfig({configureWebpack:(config)=>{if(process.env.NODE_ENV==='production'){
            config.plugins.push(newObfuscatorPlugin({// 压缩代码
                      compact:true,// 是否启用控制流扁平化(降低1.5倍的运行速度)
                      controlFlowFlattening:false,// 随机的死代码块(增加了混淆代码的大小)
                      deadCodeInjection:false,// 此选项几乎不可能使用开发者工具的控制台选项卡
                      debugProtection:false,// 如果选中，则会在“控制台”选项卡上使用间隔强制调试模式，从而更难使用“开发人员工具”的其他功能。
                     debugProtectionInterval:false,// 通过用空函数替换它们来禁用console.log，console.info，console.error和console.warn。这使得调试器的使用更加困难。
                      disableConsoleOutput:true,// 标识符的混淆方式 hexadecimal(十六进制) mangled(短标识符)
                      identifierNamesGenerator:'hexadecimal',
                      log:false,// 是否启用全局变量和函数名称的混淆
                      renameGlobals:false,// 通过固定和随机（在代码混淆时生成）的位置移动数组。这使得将删除的字符串的顺序与其原始位置相匹配变得更加困难。如果原始源代码不小，建议使用此选项，因为辅助函数可以引起注意。
                      rotateStringArray:true,// 混淆后的代码,不能使用代码美化,同时需要配置 cpmpat:true;
                      selfDefending:true,// 删除字符串文字并将它们放在一个特殊的数组中
                      stringArray:true,
                      rotateUnicodeArray:true,
                      stringArrayEncoding:['base64'],
                      stringArrayThreshold:1,// 允许启用/禁用字符串转换为unicode转义序列。Unicode转义序列大大增加了代码大小，并且可以轻松地将字符串恢复为原始视图。建议仅对小型源代码启用此选项。
                      unicodeEscapeSequence:false,}))}})})

webpack-obfuscator

插件详细配置以及一些注意事项: https://blog.csdn.net/a123456234/article/details/140911695?spm=1001.2014.3001.5501

代码混淆后

3. 使用环境变量来管理敏感数据

创建 .env 文件，并设置环境变量

.env.development 与 .env.production 文件

VUE_APP_USER_LIST='Z张三,L李四,W王五,Z赵六,S孙七,Z周八'

项目中使用

<template><div><h1>个人信息</h1><div><div v-for="(item, index) in userList":key="index">{{ item }}</div></div></div></template><script>exportdefault{
  name:"leakageInfo",data(){return{};},
  computed:{userList(){// 将字符串转换为 JSON 数组
      console.log('JSON.parse(JSON.stringify(process.env.VUE_APP_USER_LIST)).split(',')::: ',JSON.parse(JSON.stringify(process.env.VUE_APP_USER_LIST)).split(','));returnJSON.parse(JSON.stringify(process.env.VUE_APP_USER_LIST)).split(',')||[];}},};</script>

实现效果

总结

为了有效解决前端敏感信息泄露的问题，本文提出了三种实用的方法：

• 通过调用后端 API 接口动态获取敏感数据，避免将敏感信息硬编码在前端代码中，确保数据的安全传输和存储。
• 利用 webpack-obfuscator 插件对前端代码进行混淆，增加破解难度，使得攻击者难以直接从源代码中获取敏感信息。
• 通过环境变量管理敏感数据，确保其不在前端代码中直接暴露，同时便于在不同环境（如开发、测试和生产环境）中灵活配置。

这些方法相结合，不仅提升了前端应用的安全性，还增强了系统的灵活性和可维护性，从而有效防止敏感信息泄露。