安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
41浏览
前端如何处理SAML认证后的跳转和用户信息?
我们公司最近在用SAML做单点登录,后端配置好了IdP,但我在前端Vue项目里完全不知道怎么处理认证成功后的回调。用户登录后会被重定向回我的页面,URL里带了一大串参数,但文档说SAML响应是POST...
-
2
回答
32浏览
密码输入框最少8位,前端怎么限制才安全?
我正在做一个登录页,想在前端限制密码至少8位,但不确定光靠CSS或HTML能不能防住用户输太短的密码?比如下面这样写有效吗? input[type="password"] { min-length: ...
-
1
回答
17浏览
前端做假名化处理时,CSS样式会影响用户隐私吗?
最近在项目里要对用户昵称做假名化显示,比如把“张三”变成“用户A123”。但我在想,如果不同用户看到的假名颜色或样式不一样,会不会反而泄露真实身份?比如我试过用CSS给不同假名加背景色区分: .pse...
-
2
回答
27浏览
存储过程真能防住SQL注入吗?我这样写安全吗?
我在用Node.js调用MySQL的存储过程,听说用存储过程能防SQL注入,但我还是有点不放心。比如我这样拼接参数传进去: CALL getUserInfo(${userId}) 会不会有风险?是不是...
-
1
回答
18浏览
前端用 HMAC 加密签名总是验证失败,是哪里出错了?
我在 React 项目里尝试用 HMAC-SHA256 对请求参数做签名,后端用的是 Node.js 验证,但每次签名都对不上。我确认了 key 和数据都一样,是不是浏览器环境没法直接用 crypto...
-
1
回答
41浏览
前端安全测试该从哪入手?
我们团队最近开始搞安全开发生命周期,轮到我负责前端的安全测试。但我有点懵,不知道该测哪些点——XSS、CSRF 这些听说过,但具体怎么测?用什么工具? 比如我试过在输入框里输 alert(1),但页面...
-
2
回答
43浏览
Cookie被篡改了怎么办?如何保证前端收到的Cookie没被用户修改?
我们后端设置了登录态的 Cookie,但发现有些用户手动改了 Cookie 里的 userId,然后就能访问别人的数据。明明后端做了签名验证,但前端有时候还是会拿到被篡改过的值,比如用 DevTool...
-
1
回答
35浏览
前端用AES加密后端解不开,是不是密钥处理有问题?
我在前端用 CryptoJS 做 AES 加密,传给后端 Java 服务,但后端一直报错解密失败。我确认了加密模式是 CBC,填充是 PKCS7,但还是不行。 密钥我是直接用字符串 'mySecret...
-
2
回答
29浏览
Cross-Origin-Opener-Policy 设置后页面打不开怎么回事?
我在 Nginx 里加了 Cross-Origin-Opener-Policy: same-origin,结果页面直接白屏了,控制台报错说“Blocked by COOP”。我就是想防止别人用 win...
-
1
回答
43浏览
Access-Control-Allow-Methods 设置后为什么 OPTIONS 请求还是失败?
我在前端用 fetch 发了个 POST 请求到后端接口,但浏览器先发了个 OPTIONS 预检请求,结果返回 405。后端明明在响应头里加了 Access-Control-Allow-Methods...
-
1
回答
52浏览
前端日志该记到哪?浏览器里能存审计日志吗?
我们项目要做安全审计,要求记录用户关键操作日志。但我是前端,不太清楚这些日志到底该存在哪儿? 试过用 console.log() 打印,但这显然不能当正式日志用。也想过用 localStorage 存...
-
2
回答
30浏览
前端怎么安全地交换加密密钥?
我在做一个需要前端加密用户数据的功能,但卡在密钥交换这一步了。后端给的 API 返回一个公钥,我用 crypto.subtle.encrypt() 加密数据发过去,但每次刷新页面密钥就变了,没法解密之...
-
2
回答
195浏览
前端调用接口时怎么对请求参数加密才安全?
我们后端要求所有敏感接口的请求参数必须加密传输,但我试了用 AES 加密后传过去,后端说解密失败。我是在浏览器里用 CryptoJS 做的加密,密钥直接写在代码里,是不是哪里不对? 这是我的加密代码:...
-
2
回答
68浏览
验证码能防 CSRF 吗?我这样用对不对?
最近在给登录接口加 CSRF 防护,听说加验证码可以防,但我试了下感觉不太对劲。前端提交表单时带上了用户输入的验证码,后端也校验了,但好像还是可能被 CSRF 攻击?是不是我理解错了? 我现在是这么做...
-
2
回答
64浏览
JSONP还有人用吗?它到底有什么安全风险?
最近在维护一个老项目,发现接口还在用 JSONP 跨域,但听说这玩意儿很不安全。我试着改成 fetch + CORS,但后端没配 Access-Control-Allow-Origin,直接被拦了。 ...
-
2
回答
35浏览
CSP 的 report-to 指令怎么配置才能真正上报违规日志?
我在项目里加了 Content-Security-Policy,想用 report-to 把违规信息发到自己的接口,但试了好几次都没收到上报。是不是我配置错了? 这是我的响应头设置: Content-...
-
2
回答
38浏览
JSONP真的不安全吗?为什么现在都不推荐用了?
最近在维护一个老项目,发现它还在用 JSONP 跨域请求用户数据。我看网上说 JSONP 有安全风险,但不太明白具体危险在哪——毕竟我们只信任自家的 API 啊?而且试过改成 fetch + CORS...
-
2
回答
21浏览
前端如何配合后端实现 CSRF 的 Session 绑定验证?
我最近在做登录功能,后端说要用 Session 绑定的方式来防 CSRF,但我搞不太明白前端要怎么配合。是不是每次请求都要带一个 token? 我看后端在登录成功后往 Session 里存了个 csr...
-
2
回答
57浏览
CSP 设置了 block-all-mixed-content 为啥 HTTPS 页面还是加载了 HTTP 资源?
我最近在项目里加了 CSP 头,设置了 Content-Security-Policy: block-all-mixed-content,但奇怪的是,页面在 HTTPS 下居然还能加载一个 HTTP ...
-
1
回答
34浏览
前端如何正确实现密码强度校验策略?
我在做用户注册页面,想加个密码强度提示,但不确定哪些规则合理。比如至少8位、包含大小写字母和数字这些,是直接在前端用正则判断吗? 试过用 /^(?=.*[a-z])(?=.*[A-Z])(?=.*d)...
