安全开发生命周期
本话题发布安全开发生命周期相关的问答文章和技术分享,将持续更新,为您推荐了11篇问答,访问即可查看更多精彩内容。
-
1
回答
20浏览
npm项目中如何快速修复依赖项的SCA高危漏洞?
我在做项目安全扫描时发现,用npm管理的依赖项中有三个高危漏洞,但直接运行npm update没效果。尝试过根据npm audit的建议手动升级具体包版本,但其中一个依赖被多个子模块同时引用,改到第三...
-
1
回答
40浏览
如何在威胁建模中识别前端API的注入攻击风险?
最近在做威胁建模时发现前端调用的API可能存在注入攻击风险,但不确定该怎么具体分析。比如用第三方富文本库上传图片时,后台返回的Markdown内容直接渲染到页面,虽然加了输入过滤,但测试时发现特殊字符...
-
2
回答
56浏览
Vue组件用了v-html被SAST标记XSS漏洞,但数据已经转义了该怎么办?
我在开发用户评论展示功能时,用Vue的v-html渲染经过sanitize-html过滤的内容,但SonarQube扫描还是报XSS风险。代码如下: import sanitizeHtml from ...
-
2
回答
23浏览
用户输入渲染到HTML时如何防止XSS攻击?我的表单代码可能有漏洞
我在做一个表单,用户输入的内容会直接显示在页面上,但测试时发现可以注入脚本。比如用户输入alert(1)就会执行。现在用handleInput处理输入,但不知道该怎么安全转义: <div>...
-
1
回答
66浏览
在SDL中如何防止表单提交时的XSS攻击?
我在用Vue做用户反馈表单时,按照SDL要求加了输入过滤,但测试时发现恶意脚本还是能执行... 表单代码是这样的: 提交 我在提交前用正则替换了<script>标签: userInput....
-
2
回答
43浏览
安全需求文档该怎么写才能防XSS漏洞?
我们在做用户评论功能时,测试发现XSS漏洞,但安全需求文档里只写了“过滤危险字符”,具体该怎么做才能有效防范呢? 之前尝试用正则表达式过滤了<script>标签和特殊字符,但测试人员用Un...
-
2
回答
57浏览
修复XSS漏洞后怎么验证是否彻底解决了?
刚处理完前端页面的XSS漏洞,用两个不同工具测试结果却不一样,一个显示干净一个还能注入,这时候该怎么确认漏洞到底修好了没? 之前在评论区输入,修复后用OWASP ZAP扫描没问题,但自己手动测试居然还...
-
2
回答
59浏览
React应用部署后CSP头阻止了内联脚本,但业务需要动态事件处理怎么办?
我在给React项目配置Content-Security-Policy时遇到了问题。按照安全规范设置了"script-src 'self'",但页面直接报错: Refused to execute i...
-
2
回答
33浏览
SAST扫描说我这个JS代码有注入漏洞,该怎么改?
我在写一个处理用户输入的函数,用字符串拼接SQL查询的时候,SAST工具突然报高危漏洞。代码看起来没问题啊,我明明用了双引号转义…… function buildQuery(input) { cons...
-
2
回答
41浏览
SAST扫描总报React组件XSS漏洞,但代码明明转义了怎么办?
最近给React项目配置了SAST工具,扫描时总提示组件存在XSS风险。代码里已经用dangerouslySetInnerHTML包裹了sanitization函数处理的数据,为什么还是报这个漏洞? ...
-
2
回答
28浏览
为什么用了escape()后XSS过滤还是没效果?
最近在做用户评论功能,前端用escape()转义了输入内容,但测试时发现输入alert(1)依然能执行,这是怎么回事?我检查过代码确实调用了escape,但漏洞还是存在... 尝试过在服务端也做了过滤...
