安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
30浏览
pnpm-lock.yaml 里有高危依赖,但项目里根本没用到,要怎么处理?
我用 GitHub Dependabot 扫描项目,发现 pnpm-lock.yaml 里有个依赖被标成高危漏洞,但我在 package.json 里完全没装这个包,应该是某个子依赖带进来的。现在 C...
-
1
回答
36浏览
npm audit 报高危漏洞但没法升级依赖怎么办?
我跑 npm audit 发现有个高危漏洞,但提示的依赖是深层嵌套的,自己项目里根本没直接装,手动升级也没用。 试过 npm update 和删 node_modules 重装,还是报一样的问题。有没...
-
2
回答
36浏览
用户没点同意就加载了第三方脚本,这合规吗?
我最近在做 GDPR 合规改造,发现我们网站一进来就自动加载了 Google Analytics 和 Facebook Pixel 的脚本,但这时候用户还没点“同意”按钮啊。这样是不是违规了? 我试过...
-
2
回答
46浏览
前端如何校验密码强度才安全?
我在做用户注册页面,想在前端实时提示密码强度,但不确定该用什么规则。现在只做了长度判断:password.length >= 8,但感觉不够安全。 看到有些网站要求包含大小写字母、数字和特殊字符...
-
2
回答
32浏览
前端注册时怎么防字典攻击?
我最近在做一个用户注册页面,后端同事说要防止字典攻击,但我作为前端有点懵。现在只是简单校验了密码长度和复杂度,比如用正则/^(?=.*[a-z])(?=.*[A-Z])(?=.*d).{8,}$/,但...
-
2
回答
41浏览
前端请求怎么加密才安全?
我在做登录功能,想把用户密码加密后再发给后端,但不知道该在前端怎么处理。试过用 crypto-js 的 AES 加密,但每次加密结果都不一样,后端解不出来。 这是我的 Vue 代码,是不是哪里写错了?...
-
1
回答
45浏览
第三方Cookie被浏览器拦截了怎么办?
我在做前端开发时,需要从第三方服务(比如一个广告平台)设置Cookie,但发现现代浏览器直接拦截了这些Cookie,导致功能失效。我试过在iframe里加载第三方页面,也设置了SameSite=Non...
-
2
回答
87浏览
前端项目接入IAST后为什么没收到漏洞告警?
我们团队最近在测试环境接入了公司统一的IAST(交互式应用安全测试)平台,后端服务能正常上报SQL注入、XSS等问题,但我负责的React前端项目完全没收到任何告警。 我确认探针已经注入,网络也没问题...
-
2
回答
92浏览
TypeORM里用Raw写SQL会有注入风险吗?
我最近在用TypeORM的Raw函数拼接查询条件,但担心这样会不会有SQL注入漏洞?比如下面这段代码: const users = await getRepository(User) .find({ ...
-
2
回答
50浏览
前端如何安全地处理用户输入避免XSS攻击?
我在做一个评论功能,用户提交的内容直接用 innerHTML 插入到页面,结果被安全扫描工具报了 XSS 风险。我试过用 DOMPurify,但不确定是不是用对了,比如下面这样写安全吗? const ...
-
2
回答
29浏览
前端用AES加密后端解不开,哪里出问题了?
我在前端用CryptoJS做AES加密,传给后端PHP,但后端死活解密失败,密钥和模式都对上了啊。 我用的是AES-128-CBC,密钥是16位字符串,还加了PKCS7填充。前端加密代码大概是这样: ...
-
2
回答
31浏览
Acunetix扫出JS里的XSS风险,但我这代码真有问题吗?
最近用 Acunetix 扫我们前端项目,报了个“Reflected XSS”高危漏洞,定位到一段动态拼接 URL 的 JS 代码。我看了半天觉得只是普通跳转,没往 DOM 里插内容啊,怎么就成 XS...
-
2
回答
37浏览
前端设置Cookie时如何防止Session劫持?
我在做登录功能,后端返回了session cookie,但听说如果没设安全属性很容易被XSS偷走。我试过加HttpOnly,但前端又没法读了,现在不知道该怎么平衡安全和功能。 比如我现在登录页的样式是...
-
2
回答
27浏览
xss库过滤后内容显示异常怎么办?
我用 xss 库对用户输入做了过滤,但有些正常内容也被转义了,比如 <div> 这种标签直接显示成文本了,不是渲染成 HTML。是不是我用法不对? 我是这样用的: import { san...
-
1
回答
22浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在开发一个子域名下的前端应用,比如 app.example.com,后端设置 Cookie 时指定了 Domain 为 .example.com,这样主站和其他子域都能读到。但听说这样有安全风险,是...
-
2
回答
63浏览
前端安全审计中如何评估CSS注入风险?
最近在做项目安全自查,发现用户能自定义主题色,但担心CSS注入问题。我用了类似下面的写法,这样安全吗? .user-theme { --primary-color: ${userInput}; bac...
-
1
回答
32浏览
前端路由权限控制怎么做才安全?
我在用 Vue 做后台管理系统,现在想根据用户角色动态控制能访问的页面。目前是登录后把菜单和路由权限存在 Vuex 里,然后在 router.beforeEach 里判断: router.before...
-
2
回答
69浏览
Session绑定CSRF防护真的有效吗?我这样写对不对?
我在用 Express + EJS 做一个简单的表单提交功能,听说把 CSRF token 和 Session 绑定能防攻击,但我照着文档写了还是有点懵——后端生成的 token 存到 session...
-
2
回答
39浏览
前端用 RSA 加密时公钥格式不对怎么办?
我在前端用 jsencrypt 做 RSA 加密,后端给的公钥是 PEM 格式的,但直接传进去加密失败了。 试过把公钥头尾的 -----BEGIN PUBLIC KEY----- 和 -----END...
-
2
回答
20浏览
前端怎么安全地管理 HTTPS 证书?
我在本地开发一个 React 应用,需要调用后端的 HTTPS 接口,但每次启动 dev server 都提示证书不被信任。我试过用 mkcert 生成本地 CA 和证书,也配到了 webpack-d...
