Burp Suite 拦截不到本地前端请求怎么办?
我用的是 React 开发,本地启动 http://localhost:3000,浏览器也配置了 Burp 的代理(127.0.0.1:8080),但 Burp 完全没抓到任何请求。试过关闭 HTTPS、关掉浏览器缓存,还是不行。
是不是因为 React Dev Server 用了 WebSocket 或者某些请求被绕过了?我看到 Network 面板里有 XHR 请求,但 Burp 里就是空的。
- 2
回答
116浏览
Burp Suite配置HTTPS抓包一直拦截不到请求怎么办?
在用Burp测试网站时,配置了代理和安装CA证书后,HTTP请求能正常拦截,但HTTPS请求就是进不去拦截器,浏览器还提示证书不受信任。我试过清浏览器缓存、重装证书、换8080/8090端口都不行,B...
- 1
回答
49浏览
前端做渗透测试时怎么判断XSS漏洞是否真实存在?
我们团队最近在做安全审计,用 Burp Suite 扫描出一个反射型 XSS,但我不确定是不是误报。页面上用户输入的内容确实会回显,但我加了 encodeURIComponent 处理,按理说应该安全...
- 1
回答
70浏览
Fiddler抓不到HTTPS请求怎么办?
我用 Fiddler 想抓本地开发环境的 HTTPS 接口,但完全看不到请求,HTTP 的能正常抓到。已经点了 Tools > Options > HTTPS 里的 Decrypt HTT...
- 2
回答
90浏览
前端请求被IP白名单拦截怎么办?
我们后端接口加了IP白名单,只允许服务器IP访问。但我本地开发时用axios发请求,总被拒绝,提示“IP not allowed”。这不就没办法联调了吗? 我试过在请求头加X-Forwarded-Fo...
- 2
回答
107浏览
微前端子应用部署后主应用加载不到资源怎么办?
我们用 qiankun 搭的微前端架构,本地开发没问题,但子应用部署到测试环境后,主应用加载时报 404,找不到子应用的 JS 和 CSS。子应用单独访问是正常的,路径也配了 publicPath,但...
- 2
回答
73浏览
Charles抓包时本地React请求不显示怎么办?
我用Charles想抓本地开发的React应用发出的API请求,但明明页面有数据,Charles里却完全看不到任何请求记录,这是为啥? 我已经开了SSL代理,也装了证书,手机抓包是正常的,就local...
- 1
回答
54浏览
为什么我的简单请求还会被CORS拦截?
我在本地开发一个前端页面,用 fetch 向公司内网的一个 API 发起 GET 请求,明明没带自定义 header,也没用 JSON body,按理说是 simple request,应该不会触发 ...
- 1
回答
57浏览
connect-src 限制下 fetch 请求被拦截怎么办?
我在项目里加了 CSP 的 connect-src 策略,只允许请求自家的 API 域名,但本地开发时用 fetch 调用 localhost:3001 的 mock 接口就被浏览器拦了。控制台报错:...
- 2
回答
93浏览
Charles抓包时本地localhost请求不显示怎么办?
我在用 Charles 抓包调试前端接口,发现访问 localhost:3000 的请求完全看不到,但手机代理的请求都能正常捕获。已经确认 Charles 是开启状态,也试过重启和清除记录,还是不行。...
- 2
回答
76浏览
前端请求被IP白名单拦截了怎么办?
我们后端接口加了IP白名单,只允许服务器IP访问,但我本地开发时调接口直接403。试过用proxy代理到后端地址也不行,因为最终请求还是从我本机发出的,IP没变。这该怎么解决啊? 现在每次改完代码都得...
1. 确保你浏览器代理配置正确,chrome的话可以直接装SwitchyOmega插件,比系统代理靠谱
2. React dev server默认会走WebSocket,在
package.json里加这个参数:然后重启服务
3. 如果还不行,可能是请求走了localhost直连,在
package.json里把HOST改成0.0.0.0:4. 终极方案:用Fiddler抓包,比Burp稳(虽然性能差点)
我昨天刚折腾完这个,妈的React dev server整天搞些花里胡哨的优化,结果把调试搞复杂了。
--host 0.0.0.0,比如npm start -- --host 0.0.0.0,然后浏览器里访问http://127.0.0.1:3000(别用 localhost),再开 Burp Suite 的拦截,基本就能抓到了。