安全请求

我在前端用用户密钥对请求参数做SHA256加签，但后端老是说签名不匹配，明明参数排序和拼接都按文档来了啊。 试过把时间戳、nonce这些字段都加上，也确认了密钥没传错，可还是不行。是不是我加密的方式有...

我在做登录功能时，后端要求每个请求带上一个Nonce随机数来防CSRF，但我试了几次都失败了。每次页面刷新Nonce就变了，但axios拦截器里拿不到最新的值，导致请求被拒绝。 我现在的做法是在组件里...

我在做跨域请求时老是被浏览器拦掉，控制台提示“Referrer Policy 限制了 referer 头”。试过在 meta 里加 <meta name="referrer" content="...

最近项目要求所有请求参数都要加密，但我试了在 Vue 里用 AES 加密后发给后端，结果后端解密总是失败，不知道是不是我加密方式有问题。 我用的是 CryptoJS，加密逻辑写在 axios 请求拦截...

我用 Vue 发 POST 请求时，后端老是报错说 Content-Type 不对，明明传的是 JSON 啊？ 我试过直接用 axios.defaults.headers.post['Content-...

我按照后端给的文档对接请求签名，把时间戳、path 和 body 拼起来用 HMAC-SHA256 加密，但每次发请求都返回 403，说签名无效。 我试过用 JSON.stringify(body) ...

我们项目现在要对所有请求参数加密，后端用的是 AES，但我在前端用 crypto-js 加密后，后端老是解密失败，说 padding 不对。我试过 ECB 和 CBC 模式都不行，是不是前端根本不能做...

我们后端接口加了IP白名单，只允许服务器IP访问。但我本地开发时用axios发请求，总被拒绝，提示“IP not allowed”。这不就没办法联调了吗？ 我试过在请求头加X-Forwarded-Fo...

我在用 Vue 发送 POST 请求时，明明在 headers 里加了 Content-Type: application/json，但后端还是返回 400 错误，说 Content-Type 不合法...

我最近在做登录功能，连续输错几次密码后，后端返回 429 Too Many Requests，但前端没做任何提示或限制。用户根本不知道要等多久才能再试，体验很差。我想在前端加个倒计时提示，但不确定该怎...

我在做 CSP 安全策略，给每个 fetch 请求加了 Nonce，但浏览器还是报“Refused to execute inline script”错误，根本没走到请求那步。是不是我理解错了 Non...

我在开发用户资料页面时遇到问题，用户通过URL参数传递nickName，但发现有人传入<script>alert(1)</script>导致页面被注入。我试过用正则匹配过滤标签...

最近在给支付接口配置IP白名单时遇到问题，明明把测试服务器IP加进去了，但前端发起请求还是被返回403。检查过防火墙规则没问题，白名单代码也按文档写了，但就是通不过验证。测试用的是本地开发环境，可能跟...

我现在在做一个登录表单，需要把用户名和密码发到后端。但直接用POST提交不安全，想在前端加密后再发送。尝试过用Base64编码，但同事说这根本不算加密。想问下实际开发中该怎么处理？ 比如这个表单： &...

在开发天气查询功能时，我需要调用第三方API。按照文档要求，得把API Secret直接写在JS代码里，像这样：const secret = 'xxx'。 但上线后用浏览器开发者工具一看，secret...

我在做一个允许用户上传CSS样式的社区网站，最近发现有人通过添加类似下面的CSS代码，让页面布局完全乱掉了： body { overflow: hidden !important; } .post-c...

最近在做用户登录接口的安全测试，用了时间戳+随机数的方式，但测试时发现如果两次请求的时间差在有效期内，攻击者用抓包工具重放请求居然还能成功。比如这样写的请求头："X-Time": new Date()...