安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
27浏览
双击劫持怎么防?iframe嵌套页面被恶意触发了怎么办?
我最近在做一个后台管理页面,发现被人用iframe嵌套后,通过透明层诱导用户双击触发了删除操作。明明加了X-Frame-Options头,但好像对双击劫持没用? 我在本地试了下面这种结构,点击外部di...
-
2
回答
202浏览
yarn.lock 里的依赖有安全漏洞,删了重装就行吗?
我们项目最近用 GitHub 的 Dependabot 扫出几个高危漏洞,都是 yarn.lock 里锁定的旧版本依赖。我试过直接删掉 yarn.lock 然后重新 yarn install,但发现有...
-
2
回答
53浏览
GET请求能用来提交敏感操作吗?CSRF防护怎么处理?
最近在写一个删除用户的功能,后端同事说要用 POST,但我图省事直接用 GET 发了个带 token 的链接,结果被安全扫描工具报了 CSRF 风险。不是已经有 token 了吗?为啥 GET 还不行...
-
2
回答
31浏览
前端请求 HTTPS 接口时为啥还会报不安全内容?
我本地开发时用的 HTTP 协议,但调用的是公司测试环境的 HTTPS 接口,结果浏览器控制台一直提示“混合内容:页面通过 HTTPS 加载,但请求了不安全的资源”。可我明明写的是 https 啊,是...
-
1
回答
21浏览
Vue项目接入SSO后如何正确跳转并获取用户信息?
我们公司最近在搞统一认证,前端用 Vue 接入了公司的 SSO 系统。登录成功后会重定向回我的应用,URL 带了个 token 参数,但我发现有时候拿不到用户信息,或者页面刷新后状态就丢了。我现在的做...
-
2
回答
39浏览
前端如何防止Cookie被第三方脚本窃取?
我在做登录功能时,后端设置了HttpOnly的Cookie,但还是担心XSS攻击下其他恶意脚本能读取到敏感信息。虽然HttpOnly能阻止JS访问,但如果页面引入了不可信的第三方脚本,会不会有别的泄露...
-
1
回答
172浏览
Access-Control-Allow-Origin 设置了还是报跨域错误?
我在 Nginx 里配置了 Access-Control-Allow-Origin: *,前端调用接口时却还是报 CORS 错误,控制台提示“请求的资源上没有 'Access-Control-Allo...
-
2
回答
42浏览
前端做假名化处理时,CSS样式会影响数据脱敏效果吗?
我们最近在做用户隐私保护,要求前端展示时对手机号、身份证等敏感字段做假名化(比如 138****1234)。我试过用 CSS 的 content + attr 来遮盖部分字符,但发现这样其实原始数据还...
-
2
回答
45浏览
前端如何实现ABAC权限控制?
我在做后台管理系统,想用ABAC模型做细粒度权限控制,但不确定前端该怎么配合。后端返回的策略是 JSON 格式,比如: { "role": "editor", "resource": "article...
-
2
回答
31浏览
connect-src 限制了 fetch 请求,怎么配置才生效?
我在项目里加了 CSP 的 connect-src 策略,但本地开发时用 fetch 请求后端接口一直被浏览器拦截,控制台报错说违反了策略。 我试过在 meta 标签里写:<meta http-...
-
2
回答
43浏览
前端集成 CAS 单点登录后如何获取用户信息?
我们项目用的是 CAS 做单点登录,后端已经对接好了,登录跳转也没问题。但现在前端想在 React 里拿到当前登录用户的用户名或者属性,不知道该怎么取?尝试从 URL 的 ticket 参数去请求接口...
-
2
回答
76浏览
frame-ancestors 设置后为什么还是被嵌入了?
我在项目里加了 CSP 的 frame-ancestors 'self',想防止页面被其他网站用 iframe 嵌套。但测试时发现,别人还是能把我页面嵌进去,浏览器也没报 CSP 错误,这是为啥? 我...
-
1
回答
41浏览
前端如何实现数据最小化以保护用户隐私?
我在开发一个用户注册页面,想遵循数据最小化原则,但不确定哪些字段真的必要。比如现在收集了手机号、邮箱、昵称、生日、性别,是不是太多了? 尝试过只留邮箱和密码,但产品说需要手机号做验证。那生日和性别这种...
-
1
回答
31浏览
代码混淆后如何保证前端逻辑完整性?
我用 Webpack + Terser 做了代码混淆,但发现某些 React 组件的逻辑在生产环境跑着跑着就出错了,本地开发完全正常。怀疑是混淆过程中变量名或控制流被改乱了,但又不能关掉混淆,安全审计...
-
2
回答
34浏览
前端如何安全处理URL参数防止XSS攻击?
我在做一个单页应用,需要从URL的查询参数里读取用户ID然后显示在页面上。之前直接用了new URLSearchParams(window.location.search).get('id')拿到值就...
-
1
回答
22浏览
Access-Control-Allow-Headers 为什么还是报错?
我在前端用 fetch 发了个带自定义 header 的请求,比如 X-Requested-With,但浏览器一直报 CORS 错误,说 header 不被允许。 后端已经加了 Access-Cont...
-
2
回答
46浏览
Vue项目做白盒安全测试时,如何避免模板注入风险?
我们团队最近在做Web安全的白盒测试,发现有个Vue组件直接把后端返回的HTML字符串用v-html渲染了,担心会有XSS漏洞。但业务又需要展示富文本,试过用DOMPurify清洗,但测试工具还是报“...
-
2
回答
42浏览
Public-Key-Pins 头还能用吗?配置后浏览器报错怎么办?
我在项目里尝试加了个 Public-Key-Pins 安全头,结果 Chrome 直接报“HPKP is deprecated”错误,页面都加载不了了。查了下资料说这玩意儿已经被废弃了?那现在该用什么...
-
1
回答
25浏览
前端能直接用ECC加密敏感数据吗?
我在做一个需要在浏览器里加密用户数据的功能,听说ECC比RSA更高效,就尝试用 elliptic 这个库。但生成密钥对后,不知道怎么用公钥加密数据——文档里好像只支持签名,没找到加密方法? 我试了这样...
-
2
回答
47浏览
CSP 中的 script hash 到底该怎么生成和使用?
我在给网站加 Content Security Policy,想用 hash 来允许内联脚本执行,但试了好几次浏览器还是报错说不被允许。我用的是 sha256-... 这种格式,但不确定是不是生成方式...
