前端安全
本话题发布前端安全相关的问答文章和技术分享,将持续更新,为您推荐了33篇问答,访问即可查看更多精彩内容。
-
1
回答
23浏览
前端如何防止用户输入的脚本被直接执行?
我在做一个评论功能,用户提交的内容会直接显示在页面上。但测试时发现如果输入 alert(1),居然真的弹窗了!这不就XSS了吗? 我试过用 innerText 代替 innerHTML,但这样连正常的...
-
2
回答
32浏览
前端如何用安全沙箱防止XSS攻击?
最近在做一个富文本编辑器的功能,用户可以输入HTML内容,但我担心XSS问题。听说可以用沙箱隔离,比如把内容放到iframe里?我试过动态创建iframe然后写入内容,但样式全乱了,而且有些脚本还是能...
-
1
回答
31浏览
本地开发用 HTTPS 会影响 React 的 API 请求吗?
我最近在本地用 create-react-app 搭了个项目,为了测试某些需要 HTTPS 的功能(比如摄像头权限),就启用了 HTTPS 启动。但发现发请求到后端接口时老是失败,提示混合内容(mix...
-
1
回答
46浏览
前端怎么正确发送 CSRF Token 到后端?
我在用 Axios 发请求时,后端要求带 CSRF Token,但我试了几次都提示验证失败。我从页面 meta 标签里读取了 token,也加到 header 里了,但好像没生效? 这是我的代码: c...
-
1
回答
33浏览
前端输入验证只靠CSS能防XSS吗?
我在做一个评论功能,用户输入内容后直接显示在页面上。听说要防止XSS攻击,但我看有些项目只用了CSS的white-space: pre-wrap和overflow-wrap: break-word来处...
-
1
回答
48浏览
Token 存 localStorage 安全吗?为什么登录后还能被 CSRF 攻击?
我最近在做登录功能,后端返回的 token 我直接存到了 localStorage 里,每次请求手动加到 Authorization 头。但听说这样容易被 XSS 拿走,而且好像还是防不住 CSRF?...
-
2
回答
79浏览
xss库过滤后内容变空白是怎么回事?
我用 xss 库对用户输入做过滤,但有些内容直接变成空字符串了,比如输入 alert(1) 确实该被清掉,但像 test 这种,为啥连 "test" 都没了? 我试过默认配置和自定义白名单,还是不行。...
-
1
回答
33浏览
前端安全审计时如何防止XSS攻击?
最近在做项目的安全审计,发现有个地方可能有XSS漏洞。用户输入的内容直接插到页面里了,虽然用了innerText,但不确定是不是真的安全。 比如下面这段代码,把URL参数里的值直接显示出来,这样写会不...
-
2
回答
65浏览
前端如何防止XSS攻击?我用了转义还是被绕过了?
最近在做用户评论功能,后端返回的评论内容里可能包含用户输入的HTML,我用DOMPurify.sanitize()处理了,但测试时发现还是能插入脚本,是不是我用法不对? 比如下面这段代码,我以为会被过...
-
2
回答
36浏览
请求头验证 CSRF 为啥还是被拦截了?
我在前端用 fetch 发请求时加了自定义请求头 X-Requested-With: XMLHttpRequest,后端也配置了校验这个头,但还是被 CSRF 防护拦住了,到底是哪出问题了? 我试过在...
-
2
回答
68浏览
验证码能防 CSRF 吗?我这样用对不对?
最近在给登录接口加 CSRF 防护,听说加验证码可以防,但我试了下感觉不太对劲。前端提交表单时带上了用户输入的验证码,后端也校验了,但好像还是可能被 CSRF 攻击?是不是我理解错了? 我现在是这么做...
-
2
回答
29浏览
前端安全审计时如何防止CSS注入风险?
最近在做项目的安全审计,发现有个用户自定义主题的功能,允许传入CSS字符串动态应用样式。我担心这里会有CSS注入漏洞,比如用户输入恶意代码破坏页面或窃取数据。虽然我用了DOMPurify处理HTML,...
-
2
回答
36浏览
前端安全审计时如何防止XSS攻击?
最近在做项目的安全审计,发现用户输入的内容直接渲染到页面上,担心有XSS风险。比如下面这段代码,把用户昵称直接插进HTML里,会不会被注入脚本? <div class="user-info"&g...
-
2
回答
53浏览
GET请求能用来提交敏感操作吗?CSRF防护怎么处理?
最近在写一个删除用户的功能,后端同事说要用 POST,但我图省事直接用 GET 发了个带 token 的链接,结果被安全扫描工具报了 CSRF 风险。不是已经有 token 了吗?为啥 GET 还不行...
-
2
回答
60浏览
前端会遭遇SQL注入吗?我写的搜索功能是不是有风险?
我在做一个商品搜索功能,用户输入关键词后通过 fetch 发请求到后端接口。后端是用 PHP 写的,直接拼接 SQL 查询,比如: $sql = "SELECT * FROM products WHE...
-
2
回答
56浏览
前端安全审计时怎么判断CSS有没有安全风险?
最近在做项目的安全审计,听说CSS也可能有安全问题,比如XSS之类的。但我一直以为CSS是静态样式,不会执行代码,所以有点懵。 我试过用一些在线工具扫描,但没报错。不过我们有个动态加载用户自定义主题的...
-
2
回答
30浏览
前端输出用户内容时怎么防止XSS攻击?
我在做一个评论功能,用户提交的内容直接用 innerHTML 插入到页面上,结果发现如果输入 <script>alert(1)</script> 会被执行,这明显有安全风险。 ...
-
1
回答
40浏览
点击劫持防护怎么加才有效?
我在做公司后台系统,听说要防点击劫持,就试着在 HTML 里加了 X-Frame-Options: DENY,但好像没生效?页面还是能被别人用 iframe 嵌套。 后来查资料说要用 Content-...
-
2
回答
44浏览
GET请求里带操作参数会被CSRF攻击吗?
我最近在做用户删除功能,后端同事说不能用GET请求做删除,但我看有些老接口还是用GET传id删数据。现在我用React写了个按钮,点一下就发GET请求删用户,但安全扫描工具报了CSRF风险,这到底是不...
-
1
回答
36浏览
JWT 存在 localStorage 会被 XSS 攻击吗?
我最近在项目里用 JWT 做用户认证,把 token 存在了 localStorage 里,但听说这样容易被 XSS 攻击偷走。我试过改成存 cookie,但又担心 CSRF 问题,到底该怎么安全地存...
