Web安全

我最近在做用户删除功能，后端同事说用GET请求删数据没问题，但我听说GET不应该用来做状态修改的操作。现在有点懵，到底能不能用GET？如果必须用POST，那在Vue里怎么加CSRF token啊？ 我...

最近在做一个富文本编辑器的功能，用户可以输入HTML内容，但我担心XSS问题。听说可以用沙箱隔离，比如把内容放到iframe里？我试过动态创建iframe然后写入内容，但样式全乱了，而且有些脚本还是能...

我最近在做用户设置页面，不小心把“删除草稿”功能写成了GET请求，类似点个链接就删了。后来听说这样会有CSRF风险，但我不太确定是不是真的有问题？ 比如下面这种写法： <a href="/api...

我在用 Axios 发请求时，后端要求带 CSRF Token，但我试了几次都提示验证失败。我从页面 meta 标签里读取了 token，也加到 header 里了，但好像没生效？ 这是我的代码： c...

我在前端用 fetch 发请求时加了自定义请求头 X-Requested-With: XMLHttpRequest，后端也配置了校验这个头，但还是被 CSRF 防护拦住了，到底是哪出问题了？ 我试过在...

最近在给登录接口加 CSRF 防护，听说加验证码可以防，但我试了下感觉不太对劲。前端提交表单时带上了用户输入的验证码，后端也校验了，但好像还是可能被 CSRF 攻击？是不是我理解错了？ 我现在是这么做...

最近在做登录功能，看到资料说要加 HttpOnly 防止 XSS 窃取 cookie，但我以为它也能防 CSRF，结果测试发现照样能被跨站请求伪造，是不是理解错了？ 比如我后端设置了 Set-Cook...

我用 DOMPurify 处理用户输入的 HTML，但发现某些脚本居然还能执行，是不是我用错了？ 比如这段代码： const dirty = '<img src=x onerror=alert(...

我后端用Session存了CSRF Token，登录后返回给前端，但我每次提交表单时还是被拦截。是不是我发请求的方式不对？ 我试过把token放在header里，也试过放在body里，但都失败了。后端...

在Vue项目里用v-html渲染用户输入的内容时，发现输入的alert(1)居然真的弹窗了。我试过用replace替换尖括号，但复杂HTML结构就乱了，怎么安全地处理用户输入避免XSS？ <te...

我在Vue项目里用axios发请求时设置了X-CSRF-Token头，但后端一直返回403错误。之前在登录接口成功获取到token并存到cookie里了，代码是这样的： <script> ...

在开发登录表单时，我需要同时处理CSRF防护和验证码验证。现在遇到的问题是：当用户刷新验证码时，CSRF令牌没有同步更新，导致表单提交时后端返回验证失败。我尝试在获取验证码接口里携带CSRF令牌，但发...

我在开发Vue应用时遇到了CSRF防护问题，前端用了axios拦截器在每次请求带上CSRF token，但后端要求token每小时必须刷新。我尝试在axios的响应拦截器里检测403错误后自动调用刷新...

我在React组件里用URL参数显示用户输入，发现这样写可能有XSS漏洞： function SearchResults() { const searchParam = new URLSearchPa...

在做用户删除功能时加了二次确认弹窗，但同事说这不能防止CSRF攻击。我用React写了个带确认对话框的组件，代码类似这样： function DeleteButton() { const handle...