安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
24浏览
OWASP ZAP扫描时为什么总报“缺少安全头”?
我用 OWASP ZAP 扫描自己的前端项目,每次都会提示“Missing Security Headers”,比如 X-Content-Type-Options 和 X-Frame-Options。...
-
2
回答
28浏览
CSP策略生效后怎么测试是否拦截了非法脚本?
我在本地开发时加了 Content-Security-Policy,但不确定它有没有真的拦住外部脚本。比如我故意引入一个 CDN 的 JS,控制台没报错,但页面也没反应,到底是 CSP 拦了还是脚本本...
-
1
回答
52浏览
前端代码混淆后怎么防止别人调试?
我最近在做项目上线前的安全加固,用了 terser 做了代码压缩和混淆,但发现别人只要打开 DevTools 就能轻松打断点调试,甚至格式化代码看逻辑。我试过加 debugger 语句来干扰调试,但效...
-
1
回答
48浏览
前端做SQL注入防护,只靠输入验证够吗?
我在写一个带搜索功能的React页面,后端是PHP。现在对用户输入做了简单的正则过滤,比如/[']/g这种,但听说这样防不住SQL注入?是不是还得配合参数化查询才行? 我试过在输入框里输' OR '1...
-
1
回答
35浏览
前端如何防止SQL注入时意外暴露敏感信息?
我在做用户登录功能时,后端用了参数化查询防SQL注入,但前端错误提示写得太详细,比如直接显示“用户名或密码错误”,担心被用来暴力探测账户。想隐藏具体错误,但又不能让用户完全不知道哪里出错,这该怎么平衡...
-
1
回答
36浏览
前端怎么安全地处理 CSRF Token?
我在做登录功能时,后端要求每次请求都要带 CSRF Token,但我把 token 存在 Cookie 里,又怕被 XSS 攻击偷走。试过用 HttpOnly 的 Cookie,但前端又读不到 tok...
-
1
回答
20浏览
前端收集用户数据时如何遵守目的限制原则?
我们做了一个用户调研功能,只打算用邮箱做问卷回访,但同事说如果代码里把邮箱传给其他接口可能违反隐私法规,我有点懵——只要我不真用,光传过去也算违规吗? 现在代码是这样,提交后除了发给调研服务,还顺手传...
-
1
回答
35浏览
前端怎么校验密码强度才靠谱?
我在做用户注册页,想加个密码强度提示,但不确定怎么判断才算安全。试过只看长度,但用户输12345678也能过,这显然不行。 现在想结合大小写字母、数字和特殊字符,但不知道规则怎么定。比如下面这个正则:...
-
1
回答
42浏览
前端如何实现列级权限控制?
我们后台返回的表格数据里,有些字段是敏感信息,比如手机号、身份证号,不同角色看到的列不一样。我在前端用的是 Vue + Element Plus 表格,现在直接把所有字段都渲染出来了,但不知道怎么根据...
-
2
回答
39浏览
Framebuster 代码为啥在某些浏览器里失效了?
我最近在项目里加了点击劫持防护,用了常见的 Framebuster 脚本,但测试发现 Safari 和部分移动端浏览器里还是能被嵌入 iframe,根本拦不住。是不是写法有问题? 我试过下面这段代码,...
-
1
回答
42浏览
Trusted Types 下 Vue 动态渲染 HTML 报错怎么解决?
我在项目里启用了 Trusted Types 策略,结果用 v-html 渲染用户内容时报错了:This document requires 'TrustedHTML' assignment。之前直接...
-
2
回答
28浏览
前端能直接对用户密码做哈希吗?这样安全吗?
我最近在用 Vue 写一个登录页面,看到后端同事说密码要哈希存储,我就想能不能在前端先哈希再传给后端,省得传明文。但又听说这样其实不安全,有点懵。 我试了下用 crypto-js 在提交前处理密码,代...
-
2
回答
23浏览
Frame Busting 代码为啥在某些浏览器里失效了?
我最近在做前端安全加固,加了防点击劫持的 Frame Busting 代码,但测试发现 Chrome 和 Safari 下有时候还是能被嵌入 iframe,是我写法有问题吗? 我试过用 top.loc...
-
2
回答
43浏览
前端收集用户数据时如何做到只拿必要的信息?
我最近在做用户注册功能,产品经理要求收集手机号、邮箱、昵称,但安全团队说要遵循“数据最小化”原则。我不太确定哪些字段真的必要,比如头像上传是不是也算多余数据?而且现在表单里还临时加了生日和地址,虽然还...
-
1
回答
29浏览
前端用 crypto-js 做 MD5 加密为啥结果和后端对不上?
我用 crypto-js 对用户密码做 MD5 摘要,但传给后端后发现和他们算的不一致,是不是哪里编码错了? 我试过直接传字符串,也试过转 UTF-8,但结果还是不一样。后端说是用标准 MD5,没加盐...
-
2
回答
215浏览
前端代码混淆后还能被轻易还原吗?
我用了一些在线工具把 JS 代码混淆了,比如把变量名变成 a、b、c 这种,但发现别人用格式化工具一处理,逻辑还是看得懂。是不是我混淆的方式太简单了? 比如这段代码: var a=function(b...
-
1
回答
38浏览
前端怎么防范XSS攻击?我用了DOMPurify还是被绕过了?
我在项目里引入了 DOMPurify 来过滤用户输入,但安全测试时还是报了 XSS 漏洞。比如用户提交的内容里有 <img src=x onerror=alert(1)>,明明应该被过滤掉...
-
1
回答
26浏览
前端代码混淆后还能被轻易还原吗?
我用 Webpack 的 TerserPlugin 做了代码压缩和混淆,但发现别人用 Chrome DevTools 格式化一下就能看懂逻辑,尤其是 Vue 组件里的敏感判断。这真的安全吗? 比如下面...
-
1
回答
45浏览
Certificate Transparency 安全头怎么配才有效?
我在 Nginx 里尝试加上 Certificate Transparency 相关的响应头,但不确定到底该用哪个字段。查资料看到有 Expect-CT,但又听说它已经被废弃了? 我试着加了下面这段配...
-
1
回答
29浏览
前端做Fuzzing测试时CSS解析会崩溃怎么办?
最近在尝试给我们的UI组件库加Fuzzing测试,用的是jsdom配合一些模糊输入生成器。但一碰到某些畸形的CSS规则,整个测试进程就直接崩了,连错误堆栈都看不到。 我试过用 try-catch 包裹...
