安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
289浏览
React中使用AES加密数据后后端无法解密怎么办?
我在React项目里用crypto-js做了AES加密,但后端说收到的密文解密失败。我按照文档设置了CBC模式和pkcs5填充,测试时发现加密后的base64字符串总比预期的多两个等号,这正常吗? i...
-
2
回答
131浏览
前端用WebSocket加密时,怎么安全交换密钥避免被中间人截获?
我在用WebSocket做实时通信时,想给消息加密,但卡在密钥交换环节。试过让客户端生成RSA密钥对,把公钥发给服务器,但发现握手时公钥是明文传输的,如果中间人截获公钥再伪造响应,不是照样能解密吗? ...
-
2
回答
24浏览
JSONP跨域调用时如何防范第三方注入恶意脚本导致XSS?
我在用JSONP做跨域请求时突然意识到,如果第三方接口返回恶意代码,岂不是能直接在页面执行?比如我这样调用: const script = document.createElement('script...
-
2
回答
84浏览
CSP配置报错:Refused to execute inline script because it violates the following Content Security Policy directive
我在给项目添加CSP头时遇到了问题,页面一加载就报错:Refused to execute inline script because it violates the Content Security...
-
2
回答
43浏览
Session固定攻击怎么防?我的登录流程可能有漏洞?
我在开发登录功能时发现,用户登录后会设置session cookie,但测试时发现攻击者可能通过固定session ID来劫持账户。虽然设置了HttpOnly和Secure属性,但测试工具仍能预设se...
-
2
回答
43浏览
设置Cross-Origin-Opener-Policy后窗口通讯失效怎么办?
在单页应用里用window.open打开第三方支付页面时,发现通过postMessage传过去的支付结果总被拦截。之前正常工作的代码现在提示"Blocked by Cross-Origin-Opene...
-
2
回答
38浏览
密码复杂度规则挡不住字典攻击怎么办?
我在做登录功能时发现,即使设置了必须包含大小写字母+数字+特殊字符的密码规则,测试时用现成的字典词库还是能暴力破解成功。尝试过限制登录次数,但前端用setTimeout延迟验证反而让攻击变慢了。该怎么...
-
2
回答
37浏览
React代码混淆时,常量折叠导致敏感信息泄露怎么办?
我在React项目里用terser做代码混淆,但发现硬编码的API密钥被直接暴露了。按照教程配置了常量折叠选项,但没效果... 比如这个组件里的API_KEY: import { useState, ...
-
2
回答
64浏览
React表单提交时Anti-CSRF Token没变化导致重复提交被拦截怎么办?
我在用React做文件上传功能时,按照教程实现了CSRF防护,但发现同一个页面多次提交时token没变,导致第二次提交被服务器拦截了。明明在组件挂载时生成了token,代码是这样的: class Fi...
-
2
回答
46浏览
Vue中RBAC动态权限控制导致组件重复渲染怎么解决?
在用Vue做RBAC权限控制时遇到个问题,我现在通过v-if根据角色权限显示按钮,但发现每次角色信息更新后,所有被控制的组件都会重新渲染,这样会影响性能吗? 比如这样写: <template&g...
-
1
回答
147浏览
CSRF Token在AJAX请求中失效怎么办?后端返回403错误
我在做用户资料更新功能时遇到了问题。后端要求所有POST请求必须携带CSRF Token,我按照常规做法在表单里加了隐藏字段_csrf,但用fetch提交时后端一直返回403。 尝试过把token放在...
-
1
回答
28浏览
为什么我的CSRF令牌验证总是失败?
我在表单提交里用了同步令牌防护,前端生成token存到cookie和隐藏字段,但提交后后端一直报错说令牌无效,这是哪里出错了呢? 我的实现是这样的:每次页面加载时用JavaScript生成随机字符串存...
-
2
回答
32浏览
Double Submit Cookie设置后服务端无法验证,哪里出问题了?
我在用Double Submit Cookie防护CSRF时遇到问题,设置了cookie和请求头,但服务端一直提示验证失败。前端代码是这样的: document.cookie = `csrftoken...
-
2
回答
73浏览
前端登录表单加了输入限制,为什么还是被暴力破解尝试?
我给登录表单加了最小输入长度和错误次数限制,但监控显示攻击者还是能频繁尝试。代码这样写的: 登录 let failedAttempts = 0; document.getElementById('lo...
-
2
回答
39浏览
Cookie Banner固定定位在移动端失效怎么办?
最近在给网站加Cookie同意弹窗,用position:fixed定位在底部,PC端显示正常,但手机横屏时整个弹窗会被挤到页面外层了,这是什么情况啊? 尝试过这样写CSS: .cookie-banne...
-
1
回答
32浏览
React中如何防止使用window.location.search导致的DOM型XSS?
我在React组件里用URL参数显示用户输入,发现这样写可能有XSS漏洞: function SearchResults() { const searchParam = new URLSearchPa...
-
2
回答
275浏览
AppScan扫描后提示‘XSS漏洞’,但代码里用了转义,怎么解决?
我在用AppScan扫描Vue项目时,发现一个XSS漏洞指向这个组件: <div v-html="renderContent"></div> 代码里已经对接口返回的数据做了HT...
-
2
回答
26浏览
为什么我的SAML断言验证总是报签名无效错误?
我在做第三方SAML登录集成时,用passport-saml解析断言时一直报"Signature validation failed"。已经确认用对方提供的cert文件了,甚至把断言里的证书内容复制到...
-
1
回答
80浏览
Vue中如何根据角色动态渲染侧边栏菜单?
最近在做后台管理系统时遇到权限控制问题。我尝试根据用户角色动态显示侧边栏菜单,但发现角色切换后旧菜单残留: export default { data() { return { menus: [], ...
-
2
回答
99浏览
React表单提交时密码加密失败怎么办?
我在登录表单里用bcrypt加密密码,但提交后密码字段变成undefined了,这是为什么啊? 场景是这样的:用户输入密码后点击登录,我用bcrypt.hashSync加密密码再发请求。但控制台打印出...
