安全

我之前给登录页面的cookie设置了过期时间为当前时间减1天，按理说应该立即失效，但用户退出登录后刷新页面，浏览器里这个cookie居然还在？ 我检查过代码是这样写的：document.cookie ...

在React项目里用第三方图片地址，明明设置了CORS策略，但浏览器还是报跨域错误。我加了"Cross-Origin-Resource-Policy: cross-origin"头，但控制台还是提示：...

我在写一个处理用户输入的函数，用字符串拼接SQL查询的时候，SAST工具突然报高危漏洞。代码看起来没问题啊，我明明用了双引号转义…… function buildQuery(input) { cons...

最近在做用户评论功能时，允许用户自定义事件属性（比如onclick），但测试时发现如果输入"onclick=alert(1)"会被直接执行。我尝试过滤了常见的事件属性名，但测试人员用"onCLick"...

最近给React项目配置了SAST工具，扫描时总提示组件存在XSS风险。代码里已经用dangerouslySetInnerHTML包裹了sanitization函数处理的数据，为什么还是报这个漏洞？ ...

现在遇到个问题，项目里需要用户提交包含手机号的表单，但根据隐私要求只能传输后四位。试过用substr截取后四位，但发现原始手机号还在请求体里，这样还是有泄露风险。如果直接在前端把前面的数字替换成星号，...

我最近在做用户注册功能，用Sequelize的findOrCreate方法根据邮箱查找或创建用户。但发现直接拼接查询条件时（比如`where: { email: req.body.email }`），...

我在给表单提交接口加CSRF防护时，后端要求比对Origin头。但发现当用户从https://myapp.com跳转到支付页面时，跨域预检请求被拦截了。 代码是这样的： // 后端中间件逻辑（伪代码）...

我在Vue项目里用bcrypt加密用户密码，注册时能正常存储哈希值，但登录验证时用bcrypt.compare始终返回false。比如用户输入正确密码，直接对比数据库里的哈希值就不对，这是为什么？ 代...

最近在分析一个加密库的混淆代码时，发现函数调用都被拆成了一堆if-else嵌套和无意义的跳转，变量名全是a_b_c这种，完全看不懂逻辑结构。 试过用de4dot和burp的JSE反混淆，但控制流扁平化...

最近在做用户评论功能，前端用escape()转义了输入内容，但测试时发现输入alert(1)依然能执行，这是怎么回事？我检查过代码确实调用了escape，但漏洞还是存在... 尝试过在服务端也做了过滤...

我最近在做一个项目，要用到第三方API，按教程把Secret放在.env文件里了。但打包成生产版本后，用开发者工具一搜，secret居然能直接看到，这样不是完全暴露了吗？ 试过用Webpack环境变量...

最近在做一个需要混合加密的登录功能，用RSA加密对称密钥然后AES加密密码，但后端总说解密失败。 代码逻辑是这样的：先用后端给的公钥加密AES的密钥，再用这个密钥加密密码，然后一起发过去。但测试时后端...

最近在更新项目里的一些npm包，发现有几个核心库有新的大版本更新了。直接升级怕影响现有功能，想知道有没有什么好方法可以先测试新版本对项目的影响？ 试过在一个分支上手动修改package.json然后运...

最近在学习用Double Submit Cookie方法来增强网站的安全性，防止CSRF攻击。但是，在实际操作过程中遇到了些问题。我的做法是在用户登录时生成一个随机token存储于cookie中，并且...