安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
39浏览
前端项目里怎么用威胁情报检测恶意CSS注入?
最近在做安全审计,听说要关注威胁情报里的CSS注入风险,但我搞不清具体该查什么。我们项目用了动态加载用户自定义样式的功能,会不会有隐患? 比如下面这段用户可能提交的CSS: .user-content...
-
1
回答
45浏览
前端日志上报被安全审计标记为风险,该怎么处理?
我们项目里用 fetch 上报用户行为日志到 /log 接口,但最近安全扫描说这可能被用来泄露敏感信息。我试过过滤掉 password 字段,但还是报风险,有点懵。 这是上报的代码片段: fetch(...
-
1
回答
36浏览
白盒测试时怎么判断前端代码是否存在XSS风险?
最近在做项目安全自查,听说白盒测试要查XSS漏洞,但我看自己写的React组件里都是用{userInput}这种插值,应该没问题吧?可又不确定有没有漏掉什么场景。 比如有个地方用了dangerousl...
-
1
回答
37浏览
前端日志如何接入SIEM系统做安全审计?
我们团队最近要配合安全组把用户操作日志接入公司的SIEM平台,但我搞不清前端该怎么做才合规。尝试过在Vue里直接发日志到后端接口,但安全同事说字段格式不对,还可能泄露敏感信息。 比如下面这段代码,我把...
-
1
回答
32浏览
设置 SameSite=Strict 的 Cookie 后,Vue 前端还能正常发送 CSRF Token 吗?
我在后端设置了带 SameSite=Strict 的 CSRF Cookie,但前端用 Vue 发请求时好像拿不到这个 Cookie,导致 CSRF Token 传不上去。我试过在 axios 请求里...
-
2
回答
22浏览
为什么我的跨域请求总是先发一个 OPTIONS 请求?
我在前端用 fetch 调后端接口,明明只是发个 POST 请求,浏览器却先自动发了个 OPTIONS 请求,而且有时候还失败。后端同事说这是 preflight,但我没加什么特殊 header 啊,...
-
1
回答
29浏览
拖拽劫持怎么防?加了X-Frame-Options还是被绕过?
最近在做上传功能,用户可以拖拽文件到页面区域上传。但安全扫描说存在「拖拽劫持」风险——攻击者用透明 iframe 覆盖在我们页面上,诱导用户把敏感文件拖进恶意区域。我试了加 X-Frame-Optio...
-
1
回答
22浏览
DAST扫描报React应用有XSS漏洞,但我用了JSX不是自动转义了吗?
我们最近用OWASP ZAP做DAST安全扫描,结果报了一个反射型XSS漏洞。可我明明在React里直接用JSX渲染用户输入,按理说React会自动转义啊,怎么还会被扫出来? 比如下面这段代码,只是把...
-
1
回答
58浏览
前端用公钥加密数据后端却解密失败,怎么回事?
我在前端用 RSA 公钥加密用户密码,传给后端 PHP 解密,但总是报错“Decryption error”。明明公私钥是配对的,本地测试也正常,怎么一到前后端联调就不行了? 我用的是 jsencry...
-
1
回答
20浏览
前端怎么对请求参数做加密才安全?
我在做登录功能,想把用户密码在发给后端前加密一下,但不知道用啥方式才靠谱。试过用 crypto-js 做 AES 加密,但密钥写在前端代码里感觉很容易被扒出来,这样加密还有意义吗? 现在后端要求所有敏...
-
1
回答
30浏览
前端项目做安全评估时该检查哪些地方?
最近公司要对我们的 React 项目做安全审计,但我作为前端不太清楚具体要查什么。XSS、CSRF 这些听说过,但不知道在代码里怎么找漏洞。 比如我们有用 dangerouslySetInnerHTM...
-
1
回答
31浏览
前端用公钥加密数据后端却解密失败,是哪里出错了?
我在前端用 JSEncrypt 用后端给的 RSA 公钥加密用户密码,但后端(Java)一直报解密失败。我确认公钥格式没问题,也试过 Base64 编码,但还是不行。 这是我在 HTML 里引入并调用...
-
1
回答
29浏览
bcrypt加密后密码无法正确验证是怎么回事?
我在用 bcrypt 给用户注册密码加密,登录时比对总是失败。明明输入的是正确的密码,但 bcrypt.compare 返回 false,是不是我哪里用错了? 我加密的时候用的是 bcrypt.has...
-
1
回答
26浏览
yarn.lock 里的依赖有安全漏洞,我该删了重装吗?
最近用 GitHub 的 Dependabot 扫描项目,提示 yarn.lock 里好几个底层依赖有中高危漏洞。我试过删掉 node_modules 和 yarn.lock 重新 yarn inst...
-
2
回答
21浏览
用户没点同意就加载第三方脚本,这样合规吗?
我最近在做 GDPR 合规改造,发现我们网站一进来就自动加载了 Google Analytics 和 Facebook Pixel。产品经理说要等用户点了“接受 Cookie”之后才能加载这些脚本,但...
-
1
回答
22浏览
CSP 的 frame-ancestors 设置后为什么还是被嵌入了?
我在项目里加了 Content-Security-Policy 响应头,设置了 frame-ancestors 'self',按理说第三方网站不应该能用 iframe 嵌入我的页面,但测试时发现还是可...
-
1
回答
32浏览
JWT过期后如何自动刷新Token而不让用户重新登录?
我在React项目里用JWT做用户认证,登录后把access_token和refresh_token都存localStorage了。但access_token只有15分钟有效期,过期后接口就401了,...
-
1
回答
55浏览
AppScan 扫出 Vue 项目 XSS 漏洞怎么修复?
最近用 AppScan 扫我们 Vue 项目,报了个反射型 XSS 高危漏洞,说是在路由参数没过滤。但我明明用的是 Vue Router,参数都是通过 this.$route.query 拿的,页面上...
-
2
回答
22浏览
前端注册时怎么处理密码盐值才安全?
我最近在做用户注册功能,看到后端同事说密码要加盐哈希,但我搞不清盐值到底该谁生成、怎么传。我在前端直接生成随机盐拼到密码里再发过去,这样行不行?会不会有安全隐患? 比如我现在是这么做的: <fo...
-
1
回答
33浏览
前端登录页如何防止暴力破解?
我最近在用 Vue 做一个后台登录页面,担心有人用脚本反复试密码。现在只做了简单的表单校验,但不知道怎么加防暴力破解的机制,比如输错几次就锁定或者加验证码? 试过在前端计数错误次数,但发现刷新页面就清...
