XSStrike扫描时为什么总报错“Connection refused”?
我用XSStrike测试本地开发的前端页面,一运行就报“Connection refused”,明明服务已经启动了啊。我试过python3 xsstrike.py -u http://localhost:3000,但还是连不上,端口也没被占用,这到底啥问题?
- 2
回答
118浏览
CSP配置报错:Refused to execute inline script because it violates the following Content Security Policy directive
我在给项目添加CSP头时遇到了问题,页面一加载就报错:Refused to execute inline script because it violates the Content Security...
- 2
回答
119浏览
XSStrike扫描时参数注入失败,该怎么排查?
用XSStrike测试登录接口时,参数注入总是显示"未触发"。我按文档配置了--forms参数,但扫描完后报告里全是绿色勾勾,实际用Burp发包却能抓到XSS漏洞。 尝试过手动指定payload文件:...
- 2
回答
102浏览
Vue组件内行内样式为什么被CSP拦截报错?
我在Vue组件里用了行内样式,但浏览器报错"Refused to apply inline style because it violates the following Content Securi...
- 2
回答
46浏览
font-src 配置了 CDN 地址为什么字体还是加载失败?
我在项目里用了 Google Fonts,CSP 里也加了对应的域名,但浏览器控制台一直报「Refused to load font from...」的错误。明明其他资源比如 script-src 引...
- 2
回答
77浏览
Postman设置代理后请求被拦截,但直接访问正常?
我在用Postman测试API时配置了公司代理,但发送请求一直报错“Proxy Connection Refused”,而如果直接在浏览器访问同一接口却能正常返回数据。这是代理配置哪里出问题了? 我的...
- 2
回答
61浏览
DAST扫描前端页面时为什么总报CSRF漏洞?
我用 OWASP ZAP 做 DAST 扫描,每次扫我们 React 项目都提示 CSRF 漏洞,但我们根本没用表单提交,全是 fetch 请求,而且后端也校验了 token 啊。 尝试过在请求头加 ...
- 1
回答
55浏览
ESLint CLI 扫描 HTML 文件时为什么没效果?
我用 ESLint 的 CLI 命令直接扫描一个包含内联 script 的 HTML 文件,但 ESLint 根本没报错,也没处理里面的 JS 代码。是不是 ESLint 默认不支持 HTML?我试过...
- 1
回答
73浏览
OWASP ZAP 扫描时为什么总报 CSRF 漏洞?
我在用 OWASP ZAP 扫描一个内部管理后台,每次扫描都提示存在 CSRF 漏洞,但我前端已经加了 X-CSRF-Token 请求头,后端也做了校验,为啥还会报? 尝试过在 ZAP 的“上下文”里...
- 2
回答
91浏览
Sonar扫描报错“函数复杂度过高”怎么解决?
我们项目接入了Sonar代码扫描,最近提交时老是被拦住,提示“Function has a complexity of 18 which is greater than 10”。我看了下就是个普通的表...
- 2
回答
77浏览
网络感知预加载怎么在弱网下避免浪费流量?
我在做图片懒加载时想根据网络状态决定是否预加载,但用navigator.connection.effectiveType判断后,发现有些用户即使在'4g'下也抱怨流量消耗大,这策略是不是有问题? 目前...
先检查下你的前端服务启动命令,加上host参数绑定0.0.0.0试试。比如用Node的话改成
app.listen(3000, '0.0.0.0')这样就能接受外部连接了。不过注意啊,把服务这样开放出去要当心安全问题。虽然只是本地调试,但也别忘了验证输入防止注入之类的。要是真担心,可以用iptables限制只允许本机访问。
另外确认下防火墙设置,有时候系统自带的防火墙也会拦掉连接。记得测试完就关掉这个全网段监听,毕竟安全第一嘛,累是累点,但小心驶得万年船。
http://localhost:3000/search?q=test,直接扫根路径没用。另外确认一下你的服务是否监听的是127.0.0.1而不是localhost,有些工具解析localhost会有问题,可以改成http://127.0.0.1:3000/search?q=test试试。