安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
41浏览
Cookie签名后为什么还是能被篡改?
我用 Express 的 cookie-parser 中间件加了签名,但发现用户手动改 Cookie 值后,服务端居然没报错,还能正常解析,这不就等于没签名吗? 我代码是这样写的: const exp...
-
1
回答
38浏览
前端用 CryptoJS 做 SHA256 摘要,为什么每次结果都不一样?
我在登录页用 CryptoJS 对用户密码做 SHA256 摘要再传给后端,但发现每次输入相同密码,生成的哈希值都不一样。是不是我用法有问题? 我直接这样调的:CryptoJS.SHA256(pass...
-
1
回答
49浏览
前端开发中如何落地SDL安全实践?
我们团队最近开始推行安全开发生命周期(SDL),但我作为前端,不太清楚具体该做些什么。比如在需求和设计阶段,前端需要参与哪些安全评审? 我试过在代码里加 CSP 头,但上线后发现很多第三方脚本报错,像...
-
2
回答
46浏览
前端请求签名总被后端拒绝,到底哪里出错了?
我按照后端给的文档对接请求签名,把时间戳、path 和 body 拼起来用 HMAC-SHA256 加密,但每次发请求都返回 403,说签名无效。 我试过用 JSON.stringify(body) ...
-
1
回答
63浏览
前端设置的Cookie需要加密吗?怎么防窃取?
我在做登录功能,后端返回 token 后我用 JS 存到 Cookie 里,但听说 Cookie 容易被 XSS 偷走,是不是得加密?可前端加密好像也没用啊,密钥放哪都不安全…… 现在代码是这样存的:...
-
2
回答
39浏览
React 项目如何防止被嵌入 iframe 导致点击劫持?
我最近在做公司后台系统,用的是 React,担心被人用 iframe 嵌套我们的页面搞点击劫持。听说可以通过设置 X-Frame-Options 或 Content-Security-Policy 来...
-
1
回答
38浏览
CORS 中 Access-Control-Allow-Methods 设置不生效怎么办?
我在前端用 fetch 发了个 DELETE 请求,但浏览器报 CORS 错误,说方法不允许。后端明明设置了 Access-Control-Allow-Methods: GET, POST, PUT,...
-
2
回答
36浏览
Snyk 扫描总报高危漏洞,但项目跑得好好的?
我用 Snyk 扫描前端项目依赖,老是提示一堆高危漏洞,比如 lodash 或 axios 的问题。可本地开发和线上都跑得挺稳,也没出过安全问题,这到底要不要处理? 试过按 Snyk 建议升级版本,但...
-
2
回答
29浏览
移动端点击劫持怎么防?加了X-Frame-Options还是被嵌套了?
我在做公司官网的支付页面,听说点击劫持在移动端会变成“触摸劫持”,特别担心用户误触。我已经在响应头里加了 X-Frame-Options: DENY,但测试时发现别人还是能用 iframe 嵌入我的页...
-
2
回答
36浏览
请求头验证 CSRF 为啥还是被拦截了?
我在前端用 fetch 发请求时加了自定义请求头 X-Requested-With: XMLHttpRequest,后端也配置了校验这个头,但还是被 CSRF 防护拦住了,到底是哪出问题了? 我试过在...
-
2
回答
27浏览
CSP 的 script-src 用 hash 为什么还是报错?
我在页面里加了个简单的点击事件,然后根据 Chrome 控制台提示生成了 sha256 hash,但加上 CSP 后还是被拦截,完全搞不懂哪里错了。 我试过用在线工具和 openssl 手动生成 ha...
-
1
回答
45浏览
前端如何正确设置CSRF Token到请求头中?
我们后端启用了CSRF防护,要求每个POST请求都必须带上 X-CSRF-Token 请求头。我在登录成功后把token存到了 localStorage 里,但在发起请求时总是被拦截,提示 token...
-
2
回答
51浏览
CSP 禁用 unsafe-inline 后 Vue 的 click 事件为啥不生效了?
我在项目里加了 Content Security Policy,去掉了 'unsafe-inline',结果页面上所有 @click 绑定的事件都失效了,控制台报错说被 CSP 阻止。但我不明白为啥 ...
-
2
回答
43浏览
前端怎么对接口参数做加密才安全?
我们项目现在要对所有请求参数加密,后端用的是 AES,但我在前端用 crypto-js 加密后,后端老是解密失败,说 padding 不对。我试过 ECB 和 CBC 模式都不行,是不是前端根本不能做...
-
2
回答
27浏览
前端能直接参与联邦学习吗?怎么保护用户隐私?
最近在做一个涉及用户行为分析的功能,听说联邦学习可以在不上传原始数据的情况下训练模型,但我不太确定前端这边到底能做什么。 我试过用 TensorFlow.js 在浏览器里跑简单模型,但不知道怎么和联邦...
-
2
回答
40浏览
前端如何在不泄露用户隐私的前提下安全地处理表单数据?
我正在做一个用户注册页面,需要收集手机号和邮箱,但又担心这些敏感信息在前端被意外记录或泄露。比如控制台日志、错误上报这些地方会不会不小心把数据带出去? 我试过在提交前清空本地状态,但不确定是否足够。下...
-
2
回答
50浏览
用ORM框架就真的不会SQL注入了吗?
最近在用Sequelize写Node.js后端,听说ORM能自动防SQL注入,但我还是有点不放心。比如我这样写:Model.findAll({ where: { name: userInput } }...
-
2
回答
51浏览
如何防止Vue中通过URL参数引发的反射型XSS?
我最近在做一个搜索功能,URL里会带 keyword 参数,然后直接显示在页面上。但安全扫描说有反射型XSS风险,我试过用 v-html 但好像更危险了…… 现在代码是这样的: <templat...
-
2
回答
34浏览
前端项目如何集成SAST工具做自动化安全扫描?
我们团队最近在推DevSecOps,要求前端CI流程里加入静态代码扫描。但我试了几个SAST工具,要么不支持JS,要么配置太复杂,连npm run scan都跑不通。 有没有人用过靠谱的前端SAST方...
-
1
回答
29浏览
前端代码混淆后还是能被反编译出来怎么办?
我用 webpack 打包时加了 TerserPlugin 做混淆,但别人用 Chrome DevTools 一格式化,逻辑还是看得一清二楚,这还有啥意义? 比如这段混淆后的代码,虽然变量名变成 a、...
