安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
54浏览
为什么用Nessus扫描后端API时提示“401未授权”但正常访问没问题?
我在用Nessus扫描公司内网的后端API接口时,总提示401 Unauthorized错误,但用Postman直接带相同Token访问完全没问题。 已经按文档配置了认证凭证:{ "authType"...
-
2
回答
39浏览
为什么设置了Access-Control-Allow-Origin却还是出现CORS错误?
我用Express写了后端API,设置了app.use(cors()),但前端调POST接口时还是报错“No 'Access-Control-Allow-Origin' header present”...
-
2
回答
58浏览
用户组权限控制如何避免重复权限导致混乱?
我现在在做用户权限控制,用用户组来管理权限,但发现不同用户组可能会有重复的权限项。比如用户同时属于管理员组和编辑组,两个组都有"delete_post"权限,合并权限时该怎么处理才不会重复? 我尝试用...
-
2
回答
39浏览
设置了font-src还是报字体加载被CSP阻止,哪里配置错了?
我在页面里用@font-face引入了自定义字体,同时设置了CSP头"font-src 'self';"。但控制台还是报错: Refused to load the font 'data:applic...
-
2
回答
54浏览
修复XSS漏洞后怎么验证是否彻底解决了?
刚处理完前端页面的XSS漏洞,用两个不同工具测试结果却不一样,一个显示干净一个还能注入,这时候该怎么确认漏洞到底修好了没? 之前在评论区输入,修复后用OWASP ZAP扫描没问题,但自己手动测试居然还...
-
2
回答
46浏览
混合加密时公钥硬编码到前端安全吗?加密后的数据怎么传给后端?
我在用Vue做文件上传功能时想用混合加密保护数据,但卡在非对称密钥的传输上了。现在用RSA加密AES密钥,但直接把公钥写死在前端代码里(如下),这样会不会被轻易抓包获取公钥? import Crypt...
-
1
回答
23浏览
React中使用strict-dynamic后动态内联样式还是被CSP拦截怎么办?
最近给项目加CSP防护时遇到怪事,按照文档在nonce策略里加了'strict-dynamic',但React组件里的动态内联样式还是被拦截。明明设置了nonce和函数生成样式啊... 代码大概是这样...
-
1
回答
60浏览
React表单二次确认弹窗如何有效防止CSRF攻击?
在做用户删除功能时加了二次确认弹窗,但同事说这不能防止CSRF攻击。我用React写了个带确认对话框的组件,代码类似这样: function DeleteButton() { const handle...
-
2
回答
38浏览
前端用localStorage存Refresh Token被恶意调用,怎么防?
我在项目里用JWT方案,把Refresh Token存在localStorage里,但测试时发现如果前端页面被XSS攻击,Refresh Token会被直接窃取。虽然Access Token设置了短时...
-
2
回答
23浏览
Scrypt参数选择不当导致密码验证失败怎么办?
我在用scrypt加密用户密码时,调整了salt长度和N参数,结果密码验证一直报错。之前用默认参数没问题,但参考文档把N设成16384后,存储的hash和验证时算出来的值完全不一样。 尝试过把r和p参...
-
2
回答
38浏览
设置X-Permitted-Cross-Domain-Policies后Flash跨域还是被拦截怎么办?
我在配置安全头时加了X-Permitted-Cross-Domain-Policies: master-only,但Flash上传功能请求crossdomain.xml时还是报跨域错误,这是为什么? ...
-
1
回答
25浏览
Argon2密码验证通过后,为什么后续请求还是需要重新验证用户身份?
我在用Express和argon2做密码登录功能,登录时argon2.verify对比密码成功后,用session记录了用户ID。但之后调用保护的API时,express-session突然显示用户未...
-
1
回答
28浏览
参数化查询时,如何处理动态表名导致的SQL注入风险?
在开发用户数据分析功能时遇到了个难题,我需要根据用户角色动态查询不同表的数据。比如普通用户查user_data表,管理员查admin_data表。 之前用字符串拼接表名写过这样的SQL:SELECT ...
-
2
回答
54浏览
为什么我的Metasploit模块在前端测试时提示连接被拒绝?
我在本地测试一个前端应用的API接口时,用Metasploit的http_header_flood模块模拟DDoS攻击,设置RHOSTS为本机IP后运行,结果一直报"Connection refuse...
-
2
回答
29浏览
前端鉴权时,如何防止他人伪造用户权限标识?
我现在在做项目权限控制,用JWT存了用户角色信息。前端通过请求头携带权限标识,但发现直接存字符串太容易被篡改了。试过用加密和签名,但别人拿到token后还是能解密出权限字段随意修改。 比如用户本应该是...
-
2
回答
31浏览
Vue项目混淆后方法名乱码导致报错怎么办?
最近给Vue项目做代码混淆时遇到奇怪的问题,混淆后的JS文件里方法名变成了'_$_0'这种乱码形式,但运行时却报'Cannot read properties of undefined'错误。 我的组...
-
2
回答
59浏览
React应用部署后CSP头阻止了内联脚本,但业务需要动态事件处理怎么办?
我在给React项目配置Content-Security-Policy时遇到了问题。按照安全规范设置了"script-src 'self'",但页面直接报错: Refused to execute i...
-
2
回答
109浏览
React中如何用差分隐私对用户搜索词添加噪声而不影响功能?
我在做一个搜索功能时想用差分隐私保护用户输入,但不知道怎么平衡隐私和准确性。比如用户输入"apple",我尝试给每个字符加随机偏移: const addNoiseToSearch = (input) ...
-
2
回答
35浏览
在前端用模板字符串拼接SQL时,怎么防OWASP Top 10的注入漏洞?
我在做用户搜索功能时,后端让前端传原始搜索词,用模板字符串拼接SQL查询。但测试时发现这属于A03注入漏洞。虽然改用了参数化查询,但后端报错说参数顺序不对... 具体场景是用户输入框内容拼接到"SEL...
-
2
回答
60浏览
X-Frame-Options设置为SAMEORIGIN后页面仍被嵌入怎么办?
我在后端设置了X-Frame-Options为SAMEORIGIN,但发现页面还是能被其他域名iframe嵌入,这是为什么? 比如在Express里这样配置的: app.use((req, res, ...
