前端如何安全地处理多因素认证的验证码输入?
我正在开发一个需要多因素认证(MFA)的登录流程,后端用的是 TOTP 方式。现在前端要让用户输入 6 位验证码,但我不确定怎么处理才安全。比如,能不能把验证码存在 localStorage 里临时缓存?或者直接通过 fetch 发给后端就行?
我试过在表单提交时直接发验证码到 /verify-mfa 接口,但担心中间被拦截。有没有必要加额外加密?或者前端根本不需要关心这些,只要走 HTTPS 就行?
- 2
回答
26浏览
前端如何安全地处理多因素认证的第二步验证?
我在做登录流程,第一步密码验证通过后要跳转到 MFA 页面输入验证码。但不确定该不该在前端存用户的临时凭证(比如用 sessionStorage),怕有安全风险。 现在后端返回了一个 temp_tok...
- 1
回答
19浏览
前端如何处理SAML认证后的跳转和用户信息?
我们公司最近在用SAML做单点登录,后端配置好了IdP,但我在前端Vue项目里完全不知道怎么处理认证成功后的回调。用户登录后会被重定向回我的页面,URL里带了一大串参数,但文档说SAML响应是POST...
- 1
回答
51浏览
前端项目里怎么用Fuzzing测试输入框的安全性?
我最近在学安全开发生命周期,看到Fuzzing能用来测输入漏洞,但不太清楚前端怎么实际用。比如一个用户注册页面的邮箱输入框,我想自动喂各种奇怪字符串看会不会出问题,该怎么做? 试过手动复制一些payl...
- 1
回答
34浏览
前端如何安全地处理用户输入避免XSS攻击?
我在做一个评论功能,用户提交的内容直接用 innerHTML 插入到页面,结果被安全扫描工具报了 XSS 风险。我试过用 DOMPurify,但不确定是不是用对了,比如下面这样写安全吗? const ...
- 1
回答
54浏览
前端项目中如何规范处理安全漏洞修复流程?
我们团队最近在做SDL(安全开发生命周期),但对前端这块的漏洞管理有点懵。比如发现一个XSS风险,改完代码后,怎么确保它被正确记录、验证和关闭? 试过在Jira里建个ticket,但不知道要不要关联c...
- 0
回答
4浏览
前端开发中如何通过安全培训避免CSS注入风险?
最近公司开始推行安全开发生命周期(SDL),要求我们前端也参加安全培训。但我有点困惑:CSS 也会有安全问题吗?我之前写过类似下面的动态样式,会不会有风险? .user-theme { backgro...
- 1
回答
4浏览
安全培训中如何避免React里的XSS漏洞?
最近公司搞安全开发生命周期培训,提到前端也要防XSS。我在用React写一个动态渲染用户输入内容的功能,但不确定这样写会不会有风险。 我试过直接用{userInput}插值,但听说dangerousl...
- 1
回答
2浏览
前端安全审计时如何防止XSS攻击?
最近在做项目的安全审计,发现有个地方可能有XSS漏洞。用户输入的内容直接插到页面里了,虽然用了innerText,但不确定是不是真的安全。 比如下面这段代码,把URL参数里的值直接显示出来,这样写会不...
- 1
回答
9浏览
前端如何正确处理用户输入防止XSS攻击?
我在做一个评论功能,用户提交的内容要显示在页面上,但担心XSS漏洞。比如用户输入了alert(1),直接innerHTML就会执行,这太危险了。 我试过用DOMPurify库清理,但有些场景又需要保留...
- 1
回答
16浏览
前端开发中如何落地SDL安全实践?
我们团队最近开始推行安全开发生命周期(SDL),但我作为前端,不太清楚具体该做些什么。比如在需求和设计阶段,前端需要参与哪些安全评审? 我试过在代码里加 CSP 头,但上线后发现很多第三方脚本报错,像...
暂无解答