Certificate Transparency 安全头怎么配才有效?
我在 Nginx 里尝试加上 Certificate Transparency 相关的响应头,但不确定到底该用哪个字段。查资料看到有 Expect-CT,但又听说它已经被废弃了?
我试着加了下面这段配置,浏览器控制台却没任何提示,也不确定是否生效:
add_header Expect-CT 'max-age=86400, enforce';现在有点懵,前端项目到底还需要手动配这个吗?还是说只要证书本身支持 CT 就行了?
- 2
回答
48浏览
为什么我的网站启用了CT后,浏览器还是不显示证书透明度标记?
我最近在配置网站的安全头,启用了Certificate Transparency,但发现浏览器没有显示相关标记。我检查了SSL证书,确认CT日志已经添加,但可能哪里漏了?我尝试在Nginx配置里添加了...
- 2
回答
63浏览
安全需求文档该怎么写才能防XSS漏洞?
我们在做用户评论功能时,测试发现XSS漏洞,但安全需求文档里只写了“过滤危险字符”,具体该怎么做才能有效防范呢? 之前尝试用正则表达式过滤了<script>标签和特殊字符,但测试人员用Un...
- 2
回答
106浏览
前端项目里怎么用Fuzzing测试输入框的安全性?
我最近在学安全开发生命周期,看到Fuzzing能用来测输入漏洞,但不太清楚前端怎么实际用。比如一个用户注册页面的邮箱输入框,我想自动喂各种奇怪字符串看会不会出问题,该怎么做? 试过手动复制一些payl...
- 2
回答
57浏览
Electron打包签名一直报无效证书怎么办?
用electron-builder打包应用时签名老是失败,提示certificate.p12 is invalid,明明证书路径和密码都检查过了没问题啊? 我按官方文档配置了win字段的certifi...
- 2
回答
62浏览
MVP模式中Presenter怎么安全更新视图状态?
我在用MVP写登录功能时遇到问题,Presenter怎么安全更新视图状态呢? 现在尝试把登录逻辑放在Presenter里处理,但直接调用view.showLoading()时发现: class Log...
- 1
回答
45浏览
前端日志上报被安全审计标记为风险,该怎么处理?
我们项目里用 fetch 上报用户行为日志到 /log 接口,但最近安全扫描说这可能被用来泄露敏感信息。我试过过滤掉 password 字段,但还是报风险,有点懵。 这是上报的代码片段: fetch(...
- 1
回答
37浏览
前端日志如何接入SIEM系统做安全审计?
我们团队最近要配合安全组把用户操作日志接入公司的SIEM平台,但我搞不清前端该怎么做才合规。尝试过在Vue里直接发日志到后端接口,但安全同事说字段格式不对,还可能泄露敏感信息。 比如下面这段代码,我把...
- 2
回答
22浏览
前端注册时怎么处理密码盐值才安全?
我最近在做用户注册功能,看到后端同事说密码要加盐哈希,但我搞不清盐值到底该谁生成、怎么传。我在前端直接生成随机盐拼到密码里再发过去,这样行不行?会不会有安全隐患? 比如我现在是这么做的: <fo...
- 2
回答
51浏览
HTTPS到底是怎么保证数据安全的?
我最近在做前端项目,发现有些接口必须用HTTPS才能调通,但不太明白它底层是怎么加密的。HTTP明明也能传数据,为啥HTTPS就更安全? 我看浏览器地址栏有个小锁图标,点进去说用了TLS协议,但我还是...
- 1
回答
44浏览
前端加密时密钥到底该怎么安全存储?
我在做用户敏感数据的前端加密,用的是 AES,但密钥放哪儿都感觉不安全。放 localStorage 会被 XSS 拿走,写死在代码里又容易被反编译看到,这不就白加密了? 试过用环境变量 proces...
要配的话Nginx这样写:
主要还是看CA有没有给你证书加SCTs,这个头其实可有可无...困死了我先睡了