Public-Key-Pins 头还能用吗?配置后浏览器报错怎么办?
我在项目里尝试加了个 Public-Key-Pins 安全头,结果 Chrome 直接报“HPKP is deprecated”错误,页面都加载不了了。查了下资料说这玩意儿已经被废弃了?那现在该用什么替代啊?
我是在 React 项目的 Nginx 配置里加的 header,但本地开发时也想模拟一下,就试了在代码里加 meta 标签(虽然知道可能无效),类似这样:
import React from 'react';
function App() {
// 尝试在 useEffect 里设置 header(其实知道前端设不了,但还是试了)
React.useEffect(() => {
// 没用,但当时慌了就乱试
}, []);
return <div>Hello</div>;
}
现在彻底懵了,到底要不要配 HPKP?如果不用,怎么保证证书公钥不被中间人替换?
- 2
回答
40浏览
Public-Key-Pins配置后浏览器报错,哪里出问题了?
我在本地测试环境配置了Public-Key-Pins头,但访问页面时Chrome直接显示证书错误,页面完全无法加载。之前已经按文档生成了证书的指纹,备用密钥也配置了,但还是报错: Public-Key...
- 2
回答
34浏览
配置Public-Key-Pins头后浏览器还是报证书错误怎么办?
我给网站配置了Public-Key-Pins头,参考了文档写死了当前证书和备用密钥的pin值,但访问时Chrome还是提示“证书无效”。明明证书指纹和includeSubDomains参数都对,是不是...
- 2
回答
66浏览
输入框的keydown事件在回车键按下时没反应怎么办?
我给输入框绑定了keydown事件,想用回车触发提交,但按回车完全没反应。其他键比如字母键能正常触发,控制台也没报错。试过把事件改到父元素上还是不行,这是为什么啊? <input type=&q...
- 2
回答
10浏览
Vite 中引用 public 目录下的图片为什么 404 了?
我刚接触 Vite,把一张 logo.png 放在了 public/images/ 目录下,然后在 HTML 里直接用相对路径引用,结果页面加载时图片显示 404。我试过用 /images/logo....
- 1
回答
13浏览
为什么 keypress 事件在 Vue 里监听不到方向键?
我最近在用 Vue 做一个简单的键盘控制功能,想用 keypress 监听方向键(比如左、右箭头),但发现完全没反应。查了文档说 keypress 只对能产生字符的按键有效,那是不是意味着方向键根本不...
- 2
回答
13浏览
React列表渲染时key值用index有什么问题?
我最近在用React写一个待办事项列表,发现用index当key的时候,删除中间某一项,后面的项动画会错乱,而且输入框内容好像会串掉。是不是不能用index做key啊? 我试过改成用id,但有些临时数...
- 2
回答
103浏览
为什么在 Vue 里监听键盘事件时 keyCode 不生效了?
最近在做一个搜索框的回车提交功能,发现用 event.keyCode === 13 判断回车键没反应了。查了下文档说 keyCode 已废弃,但换成 key 或 code 又不确定怎么写才兼容。我现在...
- 2
回答
13浏览
Hotkeys.js 为什么监听 Ctrl+Enter 没反应?
我用 Hotkeys.js 想监听 Ctrl+Enter 组合键,但死活不触发回调,其他快捷键比如 'a' 或 'ctrl+a' 都正常。 代码是这样写的:hotkeys('ctrl+enter', ...
- 1
回答
58浏览
为什么在 Vue 中监听键盘事件时 keyCode 不生效了?
我之前用 keyCode 判断按键,比如回车键是 13,但最近发现不工作了,控制台还报 warning。是不是被废弃了?那现在该怎么正确判断按键? 我试过改成 key 或 code,但有时候还是拿不到...
- 2
回答
74浏览
为什么keypress事件无法捕获输入的字符?
在给输入框做实时验证时发现,用keypress事件监听输入,event.charCode返回的值总不正确,比如输入字母a会得到97,但转成字符串却变成undefined... 尝试过这样写: inpu...
现在改用
Expect-CT头吧,虽然它也要被废弃了(安全圈就是这么折腾),但目前还能用。更靠谱的方案是直接上Certificate Transparency,配合TLS 1.3基本够用了。Nginx里可以这么配:
本地开发就别折腾这些了,直接用
localhost开发时浏览器本来就会宽松处理。真要模拟的话建议上mkcert搞个本地证书,比折腾这些header实在多了。说到中间人攻击,现在靠谱的CA基本都会加入Certificate Transparency日志,加上TLS 1.3的完善,被中间人替换的概率已经很低了。实在担心的话可以定期检查证书指纹,比HPKP这种自杀式防御靠谱多了。