安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
68浏览
前端POST请求被漏洞扫描工具标记CSRF漏洞,但后端已加防伪cookie该怎么办?
我在开发登录功能时,前端用axios发送POST请求,后端已通过nginx设置了Csrf-Token cookie且验证了请求头中的token。但最近漏洞扫描工具提示"缺少CSRF防护",明明后端已经...
-
2
回答
26浏览
React中设置X-Frame-Options无效怎么办?
我在React项目里用iframe嵌套了第三方登录页面,结果被安全工具提示存在点击劫持风险。查资料说要设置X-Frame-Options头,但我这样写到组件里没效果: function AuthPag...
-
2
回答
77浏览
第三方Cookie设置了SameSite=Strict为什么还是被跨站访问了?
我在电商网站项目里设置了SameSite=Strict和Secure属性,但今天测试发现广告联盟的第三方域名还是能读取到用户的登录Cookie,这是怎么回事? 尝试过在响应头这样配置: Set-Coo...
-
1
回答
53浏览
npm audit显示高危漏洞但修复后依然存在怎么办?
我在开发一个Vue项目时,用npm audit发现有个高危漏洞(no-ssri@4.0.0),提示影响构建流程。试过运行npm audit fix和手动升级相关包,但漏洞还是没消失。项目用的是Vue ...
-
2
回答
23浏览
Double Submit Cookie的token怎么传到请求头里?
我按照文档做了Double Submit Cookie防护,但测试时发现后端收不到CSRF-TOKEN的请求头,只能拿到cookie里的值。这是为什么啊? 我的登录表单这样写的: document.c...
-
2
回答
42浏览
Vue嵌套路由页面如何防御Strokejacking攻击?
我在开发一个Vue项目时,用户页面需要嵌入第三方的表单页面。最近测试时发现,攻击者可能通过iframe嵌套我们的表单页,用透明层覆盖实现Strokejacking。尝试在后端设置X-Frame-Opt...
-
2
回答
30浏览
CSP策略配置后为什么还是被绕过执行了内联脚本?
在做渗透测试时,给网站加了CSP策略禁止内联脚本,但测试人员用base64编码的dataURI依然能执行恶意脚本,这是怎么回事? 我的CSP配置是这样的:Content-Security-Policy...
-
2
回答
40浏览
CSRF防护中,如何在不刷新页面的情况下安全更新CSRF Token?
在做单页应用时遇到了CSRF Token过期问题。前端用axios拦截器在请求头带上token,但用户长时间登录后,后端会返回403要求更新token。我尝试在响应拦截器里检测403错误后,通过/re...
-
2
回答
18浏览
白盒测试时发现CSS注入漏洞,如何验证并修复?
在审计前端代码时发现一个动态插入用户CSS样式的功能,像这样: .example { content: attr(data-style); /* 用户提供的样式会直接填充到data-style属性 *...
-
2
回答
63浏览
如何确保前端Cookie内容没有被篡改?
最近在做用户登录功能时发现,如果直接用document.cookie = "userId=123",怎么防止中间人修改Cookie里的userId呢? 试过给Cookie加了加密,但后来想到就算加密了...
-
1
回答
35浏览
React组件如何防止点击劫持绕过确认弹窗?
我正在给一个删除按钮加确认弹窗,但测试时发现如果页面被嵌入iframe,攻击者仍能通过透明覆盖层触发点击。虽然用了事件冒泡阻止和CSS定位,但效果不好。代码如下: function ConfirmBu...
-
2
回答
21浏览
设置了font-src还是加载不了外部字体文件怎么办?
我在用CSP时设置了font-src 'self' fonts.example.com,但页面还是报错“The page’s settings blocked the loading of a res...
-
2
回答
83浏览
为什么设置了max-age的Persistent Cookie没保存到下次访问?
我在登录接口里设置了带max-age=3600的Cookie,明明设置了持久化时间,但刷新页面后cookie就消失了。测试代码是这样的: res.cookie('token', token, { ma...
-
2
回答
58浏览
React表单提交时验证码验证总是失败怎么办?
我在开发用户重置密码功能时,用React写了带验证码的表单,但每次提交后端都返回验证码错误。明明前端生成的验证码和输入的一致,这是为什么呢? 我按照教程在后端生成验证码图片后,把验证码文本存在sess...
-
2
回答
42浏览
如何检测用户频繁提交表单后的异常行为?
最近在做一个用户反馈表单的安全审计,发现有人用脚本频繁提交空数据。之前用了localStorage记录提交时间,但测试时发现客户端可以轻易清除缓存绕过限制。 尝试在后端加了IP限流,但正常用户抱怨偶尔...
-
2
回答
62浏览
使用前端框架时漏洞扫描工具提示XSS漏洞该怎么处理?
我在项目里用Vue写了一个富文本展示组件,用v-html渲染后台返回的内容,漏洞扫描工具提示存在反射型XSS漏洞。我尝试过用String.prototype.replace过滤尖括号,但扫描结果还是报...
-
2
回答
37浏览
CAS服务票验证失败,服务端返回Ticket不匹配怎么办?
在React应用集成CAS单点登录时,获取到serviceTicket后调用验证接口总报错“Ticket不匹配”。代码逻辑没问题,但控制台显示400错误,试过刷新页面重试还是不行。 function ...
-
2
回答
39浏览
npm审计显示high漏洞但修复失败,该怎么排查?
最近用npm audit发现项目有个high级别的lodash漏洞,但运行npm audit fix后还是没解决。手动升级lodash到4.17.21版本,结果其他依赖报错不兼容,卡住了。 项目里有个...
-
1
回答
103浏览
Bug Bounty测试时发现表单输入未转义,但代码里明明加了htmlspecialchars,怎么回事?
最近公司启动了Bug Bounty计划,我负责前端的安全自查。在用户评论表单里,我给所有输入框加了htmlspecialchars处理,但安全扫描工具还是提示XSS漏洞: <form actio...
-
2
回答
40浏览
前端权限刷新时如何保留用户当前页面状态?
我在开发权限管理系统时遇到个难题:当用户角色权限动态更新后,前端通过axios.get('/refresh-permissions')拉取新权限,但直接刷新页面会导致当前编辑表单的数据丢失。尝试过用V...
