安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
53浏览
前端代码里直接写API Secret会不会被轻易盗取?
在开发天气查询功能时,我需要调用第三方API。按照文档要求,得把API Secret直接写在JS代码里,像这样:const secret = 'xxx'。 但上线后用浏览器开发者工具一看,secret...
-
2
回答
43浏览
导出用户数据时如何有效脱敏手机号和邮箱?
最近在做用户数据导出功能,需要脱敏手机号和邮箱,但实现后发现有些数据没处理好。 我写了这样的脱敏函数: function anonymizeData(data) { return data.map(u...
-
2
回答
35浏览
为什么设置了CORS头后图片还是被COP策略拦截?
我在开发时遇到了奇怪的问题,服务器设置了Access-Control-Allow-Origin: *,但页面加载外部图片时还是报错:"图片被Cross-Origin Resource Policy阻止...
-
1
回答
214浏览
React登录限制如何防止频繁尝试导致接口被攻击?
我给登录表单加了防抖和错误次数限制,但测试时发现攻击者还是能不断重试,这是为什么? 现在用useState记录错误次数,超过3次就禁用按钮,还用了防抖处理: const Login = () =>...
-
1
回答
37浏览
为什么RSA加密后的数据在服务端解密总是报错?
我用前端的jsencrypt库做了RSA加密,后端用node.js的crypto模块解密,但一直报错说“error:040...数据无效”。加密用的是公钥文件里的-----BEGIN PUBLIC K...
-
2
回答
25浏览
React表单提交时用AES加密数据,后端返回解密失败怎么办?
我在React表单提交时用crypto-js的AES加密表单数据,但后端始终报解密失败。明明前后端都用了相同的密钥和模式,到底是哪里出问题了? 代码是这样写的,表单提交时把JSON字符串加密后发送: ...
-
2
回答
38浏览
为什么OWASP ZAP无法拦截Angular应用的某些AJAX请求?
我在用OWASP ZAP测试Angular项目时发现,虽然设置了代理8080,大部分请求都能拦截,但文件上传和实时搜索的两个AJAX请求完全没反应。用F12看网络面板明明有这些请求,ZAP里却显示空白...
-
2
回答
29浏览
Session绑定后怎么还是被CSRF攻击了?我的实现有问题吗?
我在做用户登录时把sessionID存到cookie里,并在服务端把session和用户ID做了绑定。但测试时发现,攻击页面通过已登录的浏览器发起请求,服务端居然能拿到正确的用户信息。我试过设置coo...
-
2
回答
75浏览
Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with s...
-
2
回答
22浏览
怎么防止网站用户的Session被中间人攻击劫持?
最近在开发一个电商网站,用户登录后发现偶尔会出现异地登录提示。我检查了服务器日志,发现有几个不同IP访问了同一个Session ID。已经设置了Secure; HttpOnly属性,但问题还是存在,这...
-
2
回答
24浏览
用户输入渲染到HTML时如何防止XSS攻击?我的表单代码可能有漏洞
我在做一个表单,用户输入的内容会直接显示在页面上,但测试时发现可以注入脚本。比如用户输入alert(1)就会执行。现在用handleInput处理输入,但不知道该怎么安全转义: <div>...
-
1
回答
43浏览
OWASP ZAP扫描后怎么处理’信息泄露’的低风险漏洞?
用OWASP ZAP扫描公司登录页面时,总提示'信息泄露'低风险漏洞,但实际访问页面没问题 具体是说响应头里有Server字段暴露了nginx版本号,我按照教程在服务器加了header("Server...
-
1
回答
76浏览
表单提交带了CSRF Token后后端还是报无效?
我在登录表单里加了隐藏字段的CSRF Token,用JavaScript从API接口获取的,但每次提交后端还是返回“Token无效”。明明前端能正常拿到Token值,表单也正确显示在hidden in...
-
1
回答
54浏览
Burp Suite配置HTTPS抓包一直拦截不到请求怎么办?
在用Burp测试网站时,配置了代理和安装CA证书后,HTTP请求能正常拦截,但HTTPS请求就是进不去拦截器,浏览器还提示证书不受信任。我试过清浏览器缓存、重装证书、换8080/8090端口都不行,B...
-
2
回答
55浏览
为什么用JSencrypt加密后的密文到服务端就解密失败?
我在前端用JSencrypt对用户密码加密,但后端PHP一直解密失败。密钥对是正确的,也试过RSAES-OAEP算法,但结果还是错。发现加密后的密文在页面上显示不全,可能和这个CSS有关? input...
-
1
回答
40浏览
如何防止我的页面被其他网站通过iframe嵌套导致点击劫持?
我在做一个登录页面时,用X-Frame-Options: DENY和JavaScript防嵌套代码:if (self !== top) { top.location = self.location; ...
-
2
回答
32浏览
Nessus扫描前端API接口总报高危漏洞,但实际没问题怎么办?
我在用Nessus扫描公司新开发的前端项目API接口时,发现/user/profile接口一直被标记为"反射型XSS漏洞"高危,但手动测试完全没问题。 已经尝试过: 1. 在扫描配置里排除了/user...
-
2
回答
83浏览
ABAC权限控制中如何动态处理资源属性条件?
在用ABAC实现动态权限时,遇到资源属性变化导致判断失效的问题。比如在Vue组件里根据用户角色和资源的"department"属性控制按钮显示: <button v-if="canEd...
-
2
回答
32浏览
React中使用Argon2密码哈希时,为何生成的哈希值每次都不一致?
我在React项目里用argon2-browser库做密码哈希,按照文档写了注册和登录逻辑。但发现同一个密码多次哈希后得到的字符串每次都不同,导致登录验证总是失败。 比如用户注册时用argon2.ha...
-
2
回答
32浏览
React组件如何检测自身是否被嵌入iframe防止点击劫持?
我在开发一个React仪表盘组件时遇到点击劫持问题,第三方页面用iframe嵌入我的组件后完全覆盖透明层实施攻击。我尝试在组件中添加: componentDidMount() { if (window...
