安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
56浏览
前端用 HMAC-SHA256 加密为什么结果和后端对不上?
我正在对接一个 API,要求用 HMAC-SHA256 对请求体签名,但前端算出来的 signature 和后端不一致,排查了一天没找到原因。 我用的是 CryptoJS,key 和 message ...
-
2
回答
39浏览
前端安全日志该记录哪些内容?怎么避免泄露敏感信息?
最近在做项目的安全审计,要求前端也要输出安全日志。但我有点懵,不知道该记什么——比如用户操作、接口调用这些能记吗?又怕不小心把 token 或用户隐私打到日志里,反而造成风险。 我试着加了个简单的样式...
-
2
回答
39浏览
密码最少要设几位才安全?
我在做用户注册页面,后端要求密码至少8位,但产品经理说6位就够了,用户体验更好。我有点纠结,到底该听谁的? 查了下资料,好像现在主流网站都要求8位以上,还有的要包含大小写字母、数字和符号。但我试了下只...
-
2
回答
56浏览
前端代码审查时如何发现CSS注入风险?
最近在做安全Code Review,看到一段动态拼接CSS的逻辑,担心有注入漏洞。比如用户输入直接插进style标签里,会不会被利用? 我查了资料说CSS本身不像JS那样能执行脚本,但某些属性比如ur...
-
1
回答
35浏览
Strict-Transport-Security 头怎么配置才生效?
我在 Nginx 里加了 Strict-Transport-Security 响应头,但浏览器好像没识别,是不是我写法有问题? 试过这样配: add_header Strict-Transport-S...
-
2
回答
47浏览
strict-dynamic 加上后第三方脚本还是被拦截,怎么回事?
我给页面加了 CSP 的 strict-dynamic 策略,本意是让通过可信脚本动态加载的资源能正常执行,但像 Google Tag Manager 这类第三方脚本还是被浏览器拦了,控制台报“blo...
-
2
回答
33浏览
前端接入CAS单点登录后样式错乱怎么办?
我们项目最近接入了CAS做单点登录,登录跳转回来之后页面的CSS全乱了,有些样式完全没生效。我检查了网络请求,CSS文件是正常加载的,但就是渲染不对。 本地开发环境没问题,一上测试环境(走CAS)就出...
-
1
回答
50浏览
前端能用非对称加密直接加密用户密码吗?
我在做一个登录功能,想在前端用非对称加密把用户密码加密后再传给后端。但查资料发现大部分都说前端不适合做加密,可我不太理解为什么——既然有 RSA 这种算法,为啥不能直接用呢? 我试过用 crypto....
-
1
回答
57浏览
前端如何防范点击劫持中的 Strokejacking 攻击?
最近在做项目安全审计,听说了一种叫 Strokejacking 的点击劫持变种,说是攻击者通过透明覆盖层诱导用户在不知情下触发操作。我试着加了 X-Frame-Options 和 CSP 的 fram...
-
2
回答
38浏览
前端接入CAS单点登录后样式错乱怎么办?
我们项目最近接入了CAS做单点登录,登录跳转回来之后发现页面的CSS全乱了,布局完全错位。本地开发环境没问题,但一走CAS流程就出问题,是不是重定向过程中丢失了某些样式上下文? 我试过检查网络请求,C...
-
2
回答
26浏览
SSO登录后前端如何安全获取并存储用户信息?
我们接入了公司统一的SSO系统,登录成功后会跳转回前端页面并带上code参数。现在的问题是:我该在前端怎么拿这个code换用户信息?直接用axios发请求到后端接口可以吗?而且拿到用户信息后存loca...
-
1
回答
32浏览
Security.txt 应该怎么在 React 项目里正确配置?
我最近在做前端安全加固,看到建议加个 security.txt 文件,但不太清楚怎么在 React 项目里配。试过直接放 public 目录下,但部署后访问 /security.txt 返回 404,...
-
1
回答
37浏览
Cookie Prefix 到底怎么用才安全?
我在做登录功能时想用 Cookie Prefix 来增强安全性,但设置 __Host- 前缀后浏览器根本不保存 cookie,这是为啥? 我后端返回的 Set-Cookie 头是这样写的:Set-Co...
-
2
回答
45浏览
设置 Cookie 的 Max-Age 为什么没生效?
我在前端用 JavaScript 设置了一个带 Max-Age 的 Cookie,但发现它好像没起作用,关闭浏览器后 Cookie 还在。我查了文档说 Max-Age 是秒数,应该能控制过期时间,但实...
-
2
回答
47浏览
React中用dangerouslySetInnerHTML怎么防XSS攻击?
我在做一个富文本展示功能,后端返回的HTML字符串需要直接渲染,用了dangerouslySetInnerHTML,但担心XSS漏洞。试过自己写正则过滤script标签,但好像还是有风险,比如img的...
-
1
回答
62浏览
为什么后端要求 Content-Type 必须是 application/json?
我用 Vue 发 POST 请求时,后端老是报错说 Content-Type 不对,明明传的是 JSON 啊? 我试过直接用 axios.defaults.headers.post['Content-...
-
1
回答
30浏览
生物识别登录时指纹图标不显示怎么办?
我在做移动端的生物识别登录功能,用的是 WebAuthn API,但用户设备支持指纹时,页面上的指纹图标死活不显示。我试过在 Safari 和 Chrome 都不行,控制台也没报错。 CSS 里是这样...
-
2
回答
33浏览
XSStrike扫描时为什么总报错“Connection refused”?
我用XSStrike测试本地开发的前端页面,一运行就报“Connection refused”,明明服务已经启动了啊。我试过python3 xsstrike.py -u http://localhos...
-
2
回答
121浏览
npm audit 报了高危漏洞,但我不想升级依赖怎么办?
我跑 npm audit 发现有个依赖有高危漏洞,但项目里用的是老版本,升级会破坏现有功能。有没有办法忽略这个漏洞或者临时绕过? 试过加 --omit=dev 也没用,还是报同样的问题。现在 CI 流...
-
2
回答
77浏览
前端密码强度校验怎么写才靠谱?
我在做登录注册页的密码策略,想让用户设置强密码,但不确定校验逻辑怎么写才安全又不烦人。试了下正则,但总觉得漏了什么。 比如下面这段代码,只检查了长度和是否包含数字,但好像没考虑大小写字母和特殊字符?而...
