安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
77浏览
如何防止攻击者绕过我的Top窗口检测防御?
我在页面加了if (top !== self) top.location=self;想防点击劫持,但测试时发现攻击者用透明iframe叠加后检测失效了。明明设置了X-Frame-Options: SA...
-
1
回答
66浏览
在SDL中如何防止表单提交时的XSS攻击?
我在用Vue做用户反馈表单时,按照SDL要求加了输入过滤,但测试时发现恶意脚本还是能执行... 表单代码是这样的: 提交 我在提交前用正则替换了<script>标签: userInput....
-
2
回答
508浏览
如何阻止CSS光标偏移导致的按钮点击劫持漏洞?
我在做带光标动画的按钮组件时遇到问题。用transform: translate()让光标图标跟随鼠标,但测试发现恶意页面能通过绝对定位覆盖,让用户点击到隐藏的按钮。试过设置pointer-event...
-
2
回答
57浏览
密码管理器如何防止跨站点凭证填充攻击?
最近在开发自己的密码管理器,发现用户用浏览器自动填充密码时,担心跨站点凭证填充攻击怎么办? 试过给输入框加上autocomplete="new-password",但好像没用……后来查资料说要结合HI...
-
2
回答
78浏览
设置Cookie的Domain为子域名后,主域名无法访问,该怎么解决?
我在子域名测试.example.com设置了一个Cookie,代码这样写的:document.cookie = "auth=123; Domain=test.example.com; Path=/;"...
-
2
回答
59浏览
Vue组件内行内样式为什么被CSP拦截报错?
我在Vue组件里用了行内样式,但浏览器报错"Refused to apply inline style because it violates the following Content Securi...
-
2
回答
64浏览
预编译语句防住了注入吗?为什么还是被攻击了?
我用PHP开发用户登录功能时,明明用了预编译语句,但测试时发现输入' OR 1=1 --还是能绕过验证,这是为什么? 代码是这样的: $stmt = $mysqli->prepare("SELE...
-
2
回答
43浏览
安全需求文档该怎么写才能防XSS漏洞?
我们在做用户评论功能时,测试发现XSS漏洞,但安全需求文档里只写了“过滤危险字符”,具体该怎么做才能有效防范呢? 之前尝试用正则表达式过滤了<script>标签和特殊字符,但测试人员用Un...
-
2
回答
23浏览
设置Referrer-Policy后为什么请求头还是带Referer?
在Vue项目里设置了标签,但用axios发请求时发现Referer头还是包含了完整URL,是不是哪里设置错了? 代码是这样写的: <meta name="referrer" content="n...
-
2
回答
65浏览
用户自定义CSS样式被恶意篡改怎么办?
我在做一个允许用户上传CSS样式的社区网站,最近发现有人通过添加类似下面的CSS代码,让页面布局完全乱掉了: body { overflow: hidden !important; } .post-c...
-
1
回答
40浏览
安全多方计算库调用跨域接口时,如何避免明文数据被浏览器拦截?
我在用前端安全多方计算库SecureMultiPartyComputeLib处理用户数据时,需要将加密后的数据通过POST请求发送到后端服务。但发现当调用compute方法后,发送到https://a...
-
2
回答
796浏览
防重放攻击除了时间戳还有啥好方法?我的登录接口被重放了
最近在做用户登录接口的安全测试,用了时间戳+随机数的方式,但测试时发现如果两次请求的时间差在有效期内,攻击者用抓包工具重放请求居然还能成功。比如这样写的请求头:"X-Time": new Date()...
-
2
回答
74浏览
如何确保Cookie内容不被篡改?Secure+HttpOnly还不够吗?
在开发登录功能时,我设置了Cookie的Secure和HttpOnly属性,但测试发现攻击者仍能修改Cookie中的role字段(比如把普通用户改成管理员)。除了用HTTPS加密传输,还有哪些方法能验...
-
2
回答
35浏览
设置Cross-Origin-Opener-Policy后新窗口突然打不开是怎么回事?
我在给网站配置安全头的时候加了"Cross-Origin-Opener-Policy: same-origin",结果页面里用window.open()打开新标签页的按钮突然失效了。点击后控制台报错说...
-
2
回答
35浏览
设置了X-XSS-Protection后CSS样式被过滤导致页面错乱怎么办?
我在开发页面时启用了X-XSS-Protection: 1; mode=block头,但发现动态生成的用户提交内容里的CSS样式被过滤了。比如用户输入的标签带内联样式时,浏览器直接移除了style属性...
-
2
回答
48浏览
Expect-CT头配置后为什么还是出现证书错误提示?
我在Vue项目里设置了Expect-CT头,但访问页面时还是弹出证书错误警告,搞不懂哪里出问题了。配置代码是这样写的: <nuxt> </nuxt> // 在nuxt.conf...
-
1
回答
240浏览
Vue项目嵌套第三方iframe时如何防止点击劫持?
我在开发一个需要嵌入第三方表单的Vue应用,但安全扫描提示存在点击劫持风险。虽然设置了X-Frame-Options响应头,但测试时发现嵌套iframe的内容仍然可以被透明覆盖。这是怎么回事? 我尝试...
-
2
回答
66浏览
用innerHTML显示用户评论时怎么防XSS?样式转义后全乱了
我在做论坛帖子展示功能时,用渲染用户提交的内容,结果测试时发现能注入脚本。后来改用转义函数把<符号替换成<,但用户写的带CSS样式的评论就显示成纯文本了。 比如用户输入: 重要公告...
-
2
回答
71浏览
CSRF Token验证时,表单提交的Token和Cookie里的不一致怎么办?
我在用CSRF Token防护登录表单,后端每次响应头都带了Set-Cookie: csrfToken=xxx,前端用JavaScript读取cookie里的值,然后塞到表单的隐藏字段里: docum...
-
2
回答
158浏览
如何检查用户新密码是否重复使用最近5次密码?
在做密码修改功能时,需要实现"新密码不能与最近5次历史密码重复"的校验,但具体该怎么存储和比对呢? 我尝试在用户表里加了个password_history字段存JSON数组,比如这样:[ "12345...
