安全开发生命周期

我们团队刚开始推行安全开发生命周期（SDL），现在卡在「安全需求」阶段。作为前端，除了常规的功能需求，到底要提哪些和安全相关的需求啊？比如是不是得要求后端接口必须带 CSRF token？还是说要明确...

我们团队最近开始引入IAST做安全测试，但我作为前端开发有点懵——IAST不是主要针对后端的吗？我在本地跑 Vue 项目时，尝试按文档把 agent 接入，但根本不知道它能检测我哪些代码。 比如我写了...

我们团队最近引入了IAST做安全测试，但我有点搞不清楚它在前端React项目里到底能检测到什么。比如下面这段代码，明显有XSS风险，但IAST扫描后没报任何问题，是我用法不对还是IAST本来就不擅长检...

我们团队最近开始搞安全开发生命周期，轮到我负责前端的安全测试。但我有点懵，不知道该测哪些点——XSS、CSRF 这些听说过，但具体怎么测？用什么工具？ 比如我试过在输入框里输 alert(1)，但页面...

我在做一个评论功能，用户提交的内容直接用 innerHTML 插入到页面，结果被安全扫描工具报了 XSS 风险。我试过用 DOMPurify，但不确定是不是用对了，比如下面这样写安全吗？ const ...

最近在做安全开发生命周期的实践，想在CI里集成SAST工具自动扫描XSS问题。但试了几个工具（比如SonarQube、ESLint插件）都没能准确识别出我这段模板里的危险用法，是我写法太隐蔽还是配置不...

我最近在学安全开发生命周期，尝试给一个简单的评论功能做威胁建模。我发现用户提交的评论内容会直接通过 innerHTML 插入到页面里，虽然现在只是本地测试，但总觉得这样不安全。我试过用 DOMPuri...

我们线上 Vue 项目突然收到用户反馈，页面里弹出了奇怪的 alert，怀疑是 XSS 攻击。我看了下代码，确实有个地方直接用了 v-html 渲染用户输入的内容，但之前没做任何过滤。现在想知道：一旦...

我在做项目安全扫描时发现，用npm管理的依赖项中有三个高危漏洞，但直接运行npm update没效果。尝试过根据npm audit的建议手动升级具体包版本，但其中一个依赖被多个子模块同时引用，改到第三...

最近在做威胁建模时发现前端调用的API可能存在注入攻击风险，但不确定该怎么具体分析。比如用第三方富文本库上传图片时，后台返回的Markdown内容直接渲染到页面，虽然加了输入过滤，但测试时发现特殊字符...

我在开发用户评论展示功能时，用Vue的v-html渲染经过sanitize-html过滤的内容，但SonarQube扫描还是报XSS风险。代码如下： import sanitizeHtml from ...

我在做一个表单，用户输入的内容会直接显示在页面上，但测试时发现可以注入脚本。比如用户输入alert(1)就会执行。现在用handleInput处理输入，但不知道该怎么安全转义： <div>...

我在用Vue做用户反馈表单时，按照SDL要求加了输入过滤，但测试时发现恶意脚本还是能执行... 表单代码是这样的： 提交 我在提交前用正则替换了<script>标签： userInput....

我们在做用户评论功能时，测试发现XSS漏洞，但安全需求文档里只写了“过滤危险字符”，具体该怎么做才能有效防范呢？ 之前尝试用正则表达式过滤了<script>标签和特殊字符，但测试人员用Un...

刚处理完前端页面的XSS漏洞，用两个不同工具测试结果却不一样，一个显示干净一个还能注入，这时候该怎么确认漏洞到底修好了没？ 之前在评论区输入，修复后用OWASP ZAP扫描没问题，但自己手动测试居然还...

我在给React项目配置Content-Security-Policy时遇到了问题。按照安全规范设置了"script-src 'self'",但页面直接报错： Refused to execute i...

我在写一个处理用户输入的函数，用字符串拼接SQL查询的时候，SAST工具突然报高危漏洞。代码看起来没问题啊，我明明用了双引号转义…… function buildQuery(input) { cons...

最近给React项目配置了SAST工具，扫描时总提示组件存在XSS风险。代码里已经用dangerouslySetInnerHTML包裹了sanitization函数处理的数据，为什么还是报这个漏洞？ ...

最近在做用户评论功能，前端用escape()转义了输入内容，但测试时发现输入alert(1)依然能执行，这是怎么回事？我检查过代码确实调用了escape，但漏洞还是存在... 尝试过在服务端也做了过滤...