安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
26浏览
如何防止Cookie被窃取导致Session劫持?
我在开发一个Vue+Node.js的项目时,给Cookie设置了Secure和HttpOnly,但测试时发现通过XSS漏洞依然能获取到Session值。比如用户访问恶意链接后,控制台会执行这段代码: ...
-
1
回答
23浏览
SameSite=None; Secure设置后,为何本地开发环境还是报CSRF错误?
我在后端设置了Cookie的SameSite为None并加上了Secure属性,但本地开发环境用HTTPS运行时,跨域请求还是被报CSRF错误。明明生产环境没问题,本地环境该怎么调试啊? 尝试过这样配...
-
1
回答
4浏览
CSP报告端点配置后收不到任何报告怎么办?
我在本地测试Content-Security-Policy时设置了report-uri,但控制台有违反记录却收不到报告,到底是哪里出问题了? 按照教程配置了CSP头:Content-Security-...
-
1
回答
2浏览
React中POST请求为什么被CORS拦截?预检请求没发出去?
在React项目里用fetch发POST请求到第三方API时,浏览器突然报CORS错误。我明明设置了headers里的Content-Type为application/json,但控制台显示"Resp...
-
1
回答
2浏览
为什么用JavaScript的AES加密后,Node.js解密时总报错?
我在前端用crypto-js做AES加密,后端用Node.js的crypto模块解密,但一直报错说密文无效。两边都用了同样的AES-256-CBC算法,密钥和iv也确保一致,测试代码如下: /* 这是...
-
1
回答
10浏览
代码混淆后如何检测JavaScript中的代码完整性?
最近在给项目加代码混淆,但发现混淆后的代码每次构建都不同,之前用的文件哈希校验方法完全失效了。想请教下大家,有没有什么方法能既保持代码混淆,又能检测代码是否被非法篡改? 我之前是这样校验的:if (c...
-
1
回答
12浏览
CORS配置能防御CSRF攻击吗?应该如何正确设置?
我在用Spring Boot配置CORS时发现,设置了allowedOrigins为可信域名,但测试时用其他域名发起带token的POST请求居然成功了,这不还是存在CSRF漏洞吗? 后端配置是这样写...
-
1
回答
3浏览
React组件直接渲染URL参数时如何防范DOM型XSS攻击?
我在做搜索功能时遇到个问题,用户输入的搜索词会通过URL参数保存,然后用React组件显示出来。但测试时发现如果在地址栏输入类似search?query=<script>alert(1)&...
-
1
回答
90浏览
前端应急响应时如何快速定位XSS漏洞的攻击入口?
最近在处理一个紧急安全事件,发现有人利用表单提交功能注入了XSS脚本。我们用了OWASP ZAP扫描,但始终找不到具体漏洞点。前端代码里有个动态渲染的评论区,像这样: <div id="comm...
-
1
回答
29浏览
为什么Vue的POST请求触发OPTIONS预检却报403禁止访问?
我在Vue项目里用axios发POST请求给后端接口,控制台突然跳出CORS错误,显示OPTIONS请求返回了403。明明之前GET请求没问题啊,搞不懂为啥这次要先发OPTIONS? 代码就是简单的表...
-
1
回答
4浏览
frame-buster代码被绕过的具体原因是什么?
在项目里用了常见的frame-busting代码,但测试时发现还是能被嵌套到iframe里。明明加了self !== top && top.location.href = self.l...
-
1
回答
3浏览
WAF配置后还是能绕过SQL注入?预编译查询没用?
我给API加了预编译查询和WAF规则,但测试时发现用OR 1=1 UNION SELECT这种payload还是能获取数据库表名。WAF规则用了黑名单过滤了单引号和分号,但用户输入“%df%”时居然返...
-
1
回答
15浏览
PBKDF2在前端实现时,如何避免直接暴露salt值?
最近在做用户注册功能时,想用PBKDF2加密密码。我用crypto-js库写了这样的代码: <form onsubmit="hashPassword()"> <i...
-
2
回答
3浏览
JavaScript Fuzzing测试时如何避免内存泄漏?
我在用Fuzzing测试一个解析JSON的函数,用json-faker生成随机数据时,发现内存占用持续飙升。尝试给生成器加了maxLength: 1000限制,但测试到第500次迭代时还是报Out o...
-
1
回答
3浏览
React组件直接渲染用户输入导致XSS漏洞,修复后为何仍被漏洞赏金计划标记?
我在处理用户评论展示功能时,直接用dangerouslySetInnerHTML渲染了后端返回的内容,后来在漏洞赏金测试中被指出存在XSS漏洞。 虽然我已经改用DOMPurify清理内容,但测试时还是...
-
1
回答
12浏览
设置了X-XSS-Protection头还是被Chrome提示XSS防护已禁用?
最近在配置安全头的时候发现了个怪事,明明在Express里设置了X-XSS-Protection: 1; mode=block,但Chrome控制台还是弹出“XSS 防护已禁用”的警告,这是怎么回事啊...
-
1
回答
14浏览
为什么SameSite=Strict没阻止跨域请求带Cookie?
我在前端调用其他域名的API时,明明设置了SameSite=Strict和Secure,但浏览器还是自动带上Cookie了。后端用PHP设置的响应头是这样的: header("Set-Cookie: ...
-
1
回答
11浏览
前端如何验证URL参数防止XSS注入?
我在开发用户资料页面时遇到问题,用户通过URL参数传递nickName,但发现有人传入<script>alert(1)</script>导致页面被注入。我试过用正则匹配过滤标签...
-
1
回答
5浏览
Vue按钮权限控制为什么会出现显示但不可用的情况?
大家好,我在做用户角色权限控制时遇到个奇怪的问题。页面上有两个按钮,管理员能编辑和删除,普通用户只能看列表。我用v-if根据角色显示按钮,但测试时发现普通用户偶尔能看到删除按钮但点不了,这是怎么回事呢...
-
1
回答
5浏览
前端如何在日志匿名化IP时保留用户行为关联性?
我在做用户行为日志记录时,需要把用户IP进行匿名化处理。但直接截断最后两位的话,像192.168.1.123变成192.168.1.xxx,这样不同时间的同一IP请求会被混淆成同一个匿名ID。如果用哈...
