安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
59浏览
CSP报显示图片源被阻止但已配置’srcset’还是不行怎么办?
我在开发环境设置了CSP头,但控制台一直报标签的图片被阻止,明明已经在'srcset'里写了self和具体域名,怎么还是不行? 配置是这样的:Content-Security-Policy: img-...
-
2
回答
82浏览
前端用Diffie-Hellman交换密钥时为什么算不出相同共享密钥?
我在前端实现加密通信时想用Diffie-Hellman算法交换密钥,但双方算出来的共享密钥总不一样,明明参数都共享了,这是哪里出问题了? 我按文档写了个生成密钥对的函数,但测试时发现双方计算的共享密钥...
-
2
回答
56浏览
Web Crypto API AES加密后解密失败,密文看起来不对劲?
我用Web Crypto API写了个AES加密函数,但解密时总返回错误。明明密钥和参数都一致,加密后的密文看起来全是乱码,是不是哪里没处理对? 代码是这样写的: async function enc...
-
1
回答
62浏览
React表单提交时如何防止XSS攻击?IDS/IPS配置有什么建议?
我在做一个用户反馈表单时发现,如果用户输入带标签的内容,提交后服务器IDS直接拦截请求了。但前端已经用了DOMPurify处理输入内容,为什么还是被拦截? 这是我的表单组件代码: import { u...
-
2
回答
37浏览
用CSS隐藏非管理员内容被用户绕过,该怎么安全控制数据权限?
我现在在做角色权限控制,普通用户只能看自己的数据,管理员能看所有。前端用了CSS根据角色动态添加class来隐藏非管理员的按钮,比如: .user-only { display: none; } .a...
-
2
回答
31浏览
Nikto扫描后显示“403 Forbidden”错误,怎么解决?
用Nikto扫描本地测试服务器时,为什么总提示403 Forbidden? 我刚用XAMPP搭了个本地测试环境,想用Nikto检测漏洞。运行命令nikto -h http://localhost:80...
-
1
回答
36浏览
动态添加的script标签nonce无效怎么办?
在单页应用里用createElement动态插入script标签,设置了nonce属性,但是控制台还是报"Refused to execute inline event handler because...
-
2
回答
41浏览
如何防止嵌套iframe导致的UI覆盖点击劫持?
最近在做内嵌第三方支付页面的开发时,发现页面被恶意站点通过透明iframe覆盖,导致用户误触按钮。虽然设置了X-Frame-Options: sameorigin和CSP的frame-ancestor...
-
2
回答
45浏览
加密后的Cookie在前端怎么安全处理?
我在项目里给敏感数据用了AES加密存到Cookie,但前端JS需要解密后做验证。现在纠结的是,如果直接把密钥写在代码里,感觉太不安全了,试过用环境变量替换密钥,但发现只要反编译JS还是能找到,有没有更...
-
2
回答
63浏览
Vue中使用crypto-js的SHA256加密后,前后端哈希值不一致怎么办?
我在登录组件里用crypto-js给密码做SHA256摘要,但后端说计算结果和他们预期的不一样。明明双方都用的SHA256算法啊,哪里出问题了? 这是我写的Vue代码片段: 登录 import Cry...
-
2
回答
26浏览
Forge.js RSA解密后得到空字符串怎么办?
我在用Forge.js给密码字段加密后发送到后台,但服务端说解密结果是空的。前端加密代码是这样的: const encrypt = (data) => { const publicKey = f...
-
2
回答
30浏览
为什么设置script-src后页面脚本无法运行?
我在页面里写了个简单的按钮点击弹窗功能,配置CSP后突然失效了。设置了script-src只允许'self'和一个nonce,但控制台报错说阻止了内联脚本执行。代码明明加了nonce属性啊,哪里出问题...
-
2
回答
73浏览
为什么设置了Permissions-Policy头后,我的Web Worker突然报错?
我在项目里加了Permissions-Policy头想限制一些API权限,结果发现之前正常工作的Web Worker突然报错"NotAllowedError: The operation is not...
-
1
回答
42浏览
React项目HTTPS部署后,为什么AJAX请求到http://api端点被阻止?
我在React项目里用fetch调用公司旧系统的API接口,开发环境用HTTPS没问题,但部署到HTTPS服务器后突然报错:"Mixed Content: The page was loaded ov...
-
2
回答
165浏览
Vue里用innerHTML显示用户评论内容,怎么防止XSS攻击啊?
我在做一个论坛帖子的评论展示功能,用v-html渲染用户提交的内容,但测试时发现能直接执行脚本标签。比如用户输入alert(1),页面真的会弹窗。试过用转义函数替换尖括号,但图片和链接标签也失效了,怎...
-
2
回答
50浏览
为什么设置了Access-Control-Allow-Methods后OPTIONS请求还是被拦截?
我在前端用fetch发POST请求时,明明在服务器设置了"Access-Control-Allow-Methods: POST",但浏览器还是报错说方法不允许。预检OPTIONS请求返回405状态码,...
-
2
回答
49浏览
Vue表单过滤单引号后为何仍出现SQL注入漏洞?
我在做一个用户反馈表单时,发现后端报SQL注入错误。虽然给输入框加了单引号过滤,但用户输入像“O'Reilly”这样的名字时,后端依然报错。代码是这样的: 提交 export default { da...
-
1
回答
207浏览
混合加密中为什么RSA加密后的数据用AES解密会失败?
我在做混合加密时遇到问题:前端用RSA公钥加密了AES的对称密钥,但后端用RSA私钥解密后得到的数据,用AES解密明文总是失败。 尝试过检查密钥长度和算法配置,但没发现问题。比如下面这段加密代码,是不...
-
2
回答
79浏览
为什么我的Anti-CSRF Token在跨域请求时失效了?
我在单页应用里用JWT做Anti-CSRF防护,每次登录后把token存在cookie并带上自定义请求头。但调用支付接口时后端返回403,明明请求头里带了正确的token值。 尝试过在Express后...
-
2
回答
27浏览
React里把API Key写在组件里提交请求,这样会不会泄露?
我在写一个天气查询组件时,直接把OpenWeatherMap的API Key写在React组件的请求里了。但同事说这样部署后会被别人直接看到,应该怎么办?我试过用.env文件存变量,但开发环境老报40...
