Nikto扫描报出Vue前端有安全漏洞,但我没写后端啊?
我用Nikto扫了本地开发的Vue项目,结果报了一堆“OSVDB”和“CGI”漏洞,可我这明明只是个纯前端静态页面,连后端接口都还没接,怎么会有这些漏洞?是不是误报?
我试过把项目build后用http-server起服务再扫,还是同样的问题。下面是我App.vue里的一段代码:
<template>
<div id="app">
<router-view />
</div>
</template>
<script>
export default {
name: 'App'
}
</script>难道Nikto把静态资源当成了可执行脚本?这结果到底该信不该信?
- 1
回答
15浏览
Nikto扫描本地开发环境报错怎么解决?
我在用Nikto扫描本地Vue项目时,执行 nikto -h http://localhost:8080 总是提示连接被拒绝,明明dev server已经跑起来了,端口也确认没被占用,这是啥原因? 尝...
- 2
回答
19浏览
微前端中多个Vue子应用如何安全共享Vuex状态而不冲突?
我在用Single-SPA搭建微前端时遇到问题:有两个Vue子应用需要共享用户登录状态,尝试在父应用通过Vuex持久化存储,但发现状态会被另一个子应用覆盖,这是为什么呢? 我在父应用store.js设...
- 1
回答
6浏览
Jira和Confluence集成后,前端怎么在Vue里安全地嵌入Confluence页面?
我们团队最近把Jira和Confluence打通了,现在想在内部Vue项目里直接嵌入Confluence的某个文档页面。但用iframe加载时老是被CSP拦截,提示“Refused to frame”...
- 1
回答
10浏览
微前端中如何正确共享 Vue 依赖避免重复加载?
我在用 qiankun 搭建微前端项目,主应用和子应用都用了 Vue 3,但发现子应用加载时又把 Vue 打包进去了,导致页面卡顿。我试过在 webpack 的 externals 里排除 Vue,但...
- 2
回答
16浏览
Vue前端路由怎么解决SEO问题?
我用 Vue Router 做了个单页应用,页面内容都是通过前端路由动态加载的,但发现搜索引擎根本抓不到页面内容,这对 SEO 太不友好了。试过在 router-link 里加静态链接也没用,爬虫好像...
- 1
回答
16浏览
Nikto扫描时为什么忽略我指定的8080端口?
我用Nikto扫描本地Apache服务器时,明明加了-port 80,8080参数,但结果只显示扫描了80端口。手动curl 8080能访问,防火墙也没问题,这是什么原因? 命令是这样写的: nikt...
- 2
回答
19浏览
微前端应用隔离时,两个子应用的Vue实例为什么会共享同一个$root?
我在用single-spa搭建微前端时遇到奇怪问题,两个子应用都用了Vue3,但它们的组件通过getCurrentInstance()获取到的$root竟然是同一个实例! 场景是这样的:主应用注册了两...
- 2
回答
36浏览
Nikto扫描后显示“403 Forbidden”错误,怎么解决?
用Nikto扫描本地测试服务器时,为什么总提示403 Forbidden? 我刚用XAMPP搭了个本地测试环境,想用Nikto检测漏洞。运行命令nikto -h http://localhost:80...
- 2
回答
251浏览
Vue项目嵌套第三方iframe时如何防止点击劫持?
我在开发一个需要嵌入第三方表单的Vue应用,但安全扫描提示存在点击劫持风险。虽然设置了X-Frame-Options响应头,但测试时发现嵌套iframe的内容仍然可以被透明覆盖。这是怎么回事? 我尝试...
- 2
回答
88浏览
使用前端框架时漏洞扫描工具提示XSS漏洞该怎么处理?
我在项目里用Vue写了一个富文本展示组件,用v-html渲染后台返回的内容,漏洞扫描工具提示存在反射型XSS漏洞。我尝试过用String.prototype.replace过滤尖括号,但扫描结果还是报...
先给你吃颗定心丸:这些基本全是误报,不用太担心。
Nikto这玩意儿的工作原理是拿一个巨大的"已知漏洞特征库"往你服务器上怼,不管你实际有没有部署这些东西。它会扫描各种常见的CGI路径、管理后台入口、老旧PHP脚本之类的东西,比如
/cgi-bin/、/admin/、/phpmyadmin/这种。你一个纯前端Vue项目,编译出来就是一堆静态HTML、CSS、JS文件,哪来的CGI脚本?根本执行不了服务端逻辑。你用http-server起的服务,它就是个静态文件服务器,不会解析任何服务端脚本,所以那些OSVDB和CGI相关的漏洞报告可以直接无视。
真正值得你关注的是:第一,如果你用了Vue Router的history模式,要注意别让人通过路径遍历访问到不该访问的文件;第二,生产环境部署时记得配置好CSP和X-Frame-Options这些HTTP头;第三,别在前端代码里硬编码任何敏感信息,比如API密钥、token之类的,因为所有人都能看到。
如果你实在想减少这些噪音,可以用
-Tuning参数让Nikto跳过某些检测类别,或者干脆换成OWASP ZAP的AJAX爬虫模式,对前端项目友好很多。总之放心睡吧,你这段代码没毛病。