Jsprime——一款JavaScript静态安全分析工具

如今，越来越多开发人开始将JavaScript作为其首选语言方案。理由很简单，JavaScript如今正越来越多地被视为应用程序的主流开发 语言——无论是在Web层面抑或是移动端，客户端不是服务器端。JavaScript拥有出色的灵活性，而宽松的语句设计能够让开发人员以令人惊奇的速度 创建出富应用。最近一段时间，JavaScript解释器的性能也得到了突飞猛进，从而几乎彻底消除了企业对其可扩展性与吞吐能力所抱持的疑问。总而言 之，JavaScript如今已经成为一款极为重要且强大的语言，我们将其引入日常工作，从客户端Web应用编码到通过Node.js实现的服务器端开 发，再到如今其已经能够支持的Windows 8等主流移动平台应用编写——甚至包括尚未正式推出的Firefox OS应用。

但 问题在于，很多开发人员仍在采取某些安全性低下的实践举措，这将导致大量客户端攻击行为的出现——而其中最臭名昭著的当数DOM XSS攻击。我们曾努力了解这类问题的根源，并发现这是因为缺少充足的实践性工具帮助开发人员应对真实世界中的挑战。因此，为了率先找出问题的解决办法， 我们在这里向大家推荐JSPrime：一款JavaScript静态分析工具。它极具轻量化特性，且只需点击操作即可轻松使用!这款静态分析工具基于来自 Aria Hidayat的高人气Esprima ECMAScript解释器。

我要首先解释这款工具的几大突出特性：

◆JS库源与输出识别

◆多数动态或者静态分析器皆在开发过程中支持原生/纯JavaScript代码，这种作法对于大多数开发人员都是种难以解决的问题，因为他们会大量使用 jQuery以及YUI等JavaScript框架/库。由于这些扫描工具能够支持纯JavaScript代码，所以其往往无法理解开发工作的背景信息， 这是因为使用这类库时会造成大量假阳性与假阴性误报。为了解决这一难题，我们已经为jQuery及YUI识别出了各类高危用户输入源与代码执行输出功能。 从最初版本开始，我们就在认真考虑如何确保用户能够轻松将其扩展至其它框架。

◆变量与函数追踪(这项功能作为我们代码流分析算法的组成部分)。

◆变量与函数内容识别分析(这项功能作为我们代码流分析算法的组成部分)。

◆已知过滤器功能识别。

◆遵循面向对象程序与原型设计合规标准。

◆最大程度降低误报机率。

◆支持JavaScript代码精简。

◆极高运行速度。

◆只需点击即可操作。

未来将陆续推出的新特性：

通过混合型分析自动实现代码反混淆与解压缩(由Ra.2实现，http://code.google.com/p/ra2-dom-xss-scanner)。

ECMAScript家族支持能力(包括ActionScript 3、Node.js以及WinJS)。

使用方式

Web客户端

在浏览器中打开”index.html”。

服务器端(Node.JS)

1. 在终端中输入”node server.js”。

在浏览器内访问127.0.0.1：8888。

作者：蓝雨泪

来源：51CTO

JS随机数与安全 Math.random() 函数返回一个浮点，伪随机数在范围0到小于1，也就是说，从0（包括0）往上，但是不包括1（排除1），然后您可以缩放到所需范围。实现将初始种子选择到随机数生成算法；它不能被用户选择或重置。一个非密码学安全的随机数来源。
Deno 1.0 发布：为 JavaScript 和 TypeScript 提供安全运行时环境 经过了为期 2 年的开发，Deno 终于在 2020 年的 5 月份完成了 1.0 版本。其官方网站宣称，Deno 为 JavaScript 和 TypeScript 提供了一个安全的运行时环境。
Hegel：励志成为最好的 JavaScript 静态类型检查器 Hegel 作为 JavaScript 类型检查器中的新秀，励志要成为最好的 JavaScript 静态类型检查器。它宣称提供了一个具备强类型推断的可靠的类型系统。目前 Hegel 还在 alpha 测试阶段，大家可以在其提供的专用在线练习场进行功能体验。
静态类型在 JavaScript 中是一种负担吗？ 我年轻的时候曾经是一位动态类型的忠实拥趸，因为动态类型方便、自由。假设在我需要编写一段为我服务的小程序时，如果 runtime 强制需要我去做一些向上向下转型的工作，恐怕我会崩溃。
云栖大讲堂 擅长前端领域，欢迎各位热爱前端的朋友加入我们（ 钉钉群号：23351485）关注【前端那些事儿】云栖号，更多好文持续更新中！