安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
19浏览
Access-Control-Allow-Origin 设置后还是跨域报错?
我在本地开发时请求后端接口,明明在响应头里加了 Access-Control-Allow-Origin: *,但浏览器还是报跨域错误,这是为啥? 后端是用 Node.js 写的,我试过在 Expres...
-
2
回答
25浏览
Sequelize用原生SQL查询时怎么防注入?
我用Sequelize的sequelize.query()执行原生SQL,但用户输入会拼接到查询里,担心有SQL注入风险。比如下面这样写是不是不安全? const userId = req.query...
-
2
回答
54浏览
npm audit 报高危漏洞,但升级依赖后项目就报错怎么办?
我用 npm audit 扫描项目,发现 lodash 有个高危漏洞,提示要升级到 4.17.21 以上。可我升级完之后,页面直接白屏,控制台报错说某个方法 undefined。 之前用的是 4.17...
-
1
回答
32浏览
权限继承时子路由没生效,是我写错了吗?
我在做后台系统的权限控制,父路由设置了权限,子路由按理说应该继承才对,但实际访问时子页面还是被拦住了,有点搞不懂。 我试过在父级 meta 里加 auth 字段,也确认了路由守卫里有读取 meta.a...
-
2
回答
37浏览
jsencrypt 加密后端解不开,是哪里出问题了?
我用 jsencrypt 在前端加密手机号,传给 Java 后端,但后端一直报解密失败。我确认公钥是从后端拿的,格式也没动过,不知道是不是加密方式不对? 这是我的前端代码: <script sr...
-
2
回答
22浏览
SAML单点登录后样式丢失,CSS加载异常怎么办?
我们前端接入了公司统一的 SAML 单点登录,登录成功后跳转回原页面,但发现页面的样式完全乱了。本地开发和直接访问都正常,唯独经过 SAML 跳转回来就不对。我怀疑是相对路径问题,但试了改成绝对路径还...
-
2
回答
29浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在 Vue 项目里加了安全头 Cross-Origin-Embedder-Policy: require-corp,结果页面里的跨域图片全挂了,控制台报错说需要 CORS 或者 crossorigi...
-
1
回答
50浏览
双击劫持怎么防?用户点按钮却触发了隐藏操作?
我在做支付页面时,发现攻击者可能用透明iframe覆盖我的按钮,诱导用户“双击”——第一次点击激活iframe,第二次实际触发了恶意操作。我试过加X-Frame-Options: DENY,但有些老系...
-
2
回答
33浏览
security.txt 文件到底该放哪里才生效?
我最近在项目里加了个 /.well-known/security.txt,但用安全扫描工具检测时老是提示找不到。我试过放在根目录和 public 目录下,Nginx 也配了路由,但访问 /securi...
-
2
回答
23浏览
前端加密后存 localStorage 安全吗?
我最近在做用户敏感信息的本地存储,尝试用 CryptoJS 把数据 AES 加密后再存到 localStorage。但听说 localStorage 本身不安全,就算加密了也可能被 XSS 拿到密钥?...
-
2
回答
29浏览
CSP 的 script-src 用 hash 为啥不生效?
我在本地开发时给内联脚本加了 CSP hash,但浏览器还是报违反策略,明明 hash 是对的啊? 我用的是 Chrome,控制台显示:Refused to execute inline script...
-
1
回答
33浏览
X-Frame-Options 设置后为什么页面还是能被嵌入 iframe?
我最近在项目里加了 X-Frame-Options 响应头,设成了 DENY,但发现别人还是能用 iframe 把我的页面嵌进去,完全没生效。是我设置方式不对吗? 后端是用 Express 写的,代码...
-
2
回答
40浏览
前端菜单权限控制怎么做才安全?
我最近在做后台管理系统,菜单要根据用户角色动态显示。现在是前端拿到用户权限列表后,用 v-if="hasPermission('user:list')" 这种方式控制菜单项显示,但听说这样不安全,因为...
-
2
回答
31浏览
前端传数字ID到后端,做类型检查能防SQL注入吗?
我在写一个用户信息查询功能,前端传了个用户ID给后端接口。听说只要确保这个ID是数字就能防止SQL注入,是真的吗? 我试过在前端用typeof id === 'number'判断,但发现用户还是可以通...
-
2
回答
32浏览
Cookie Banner 同意后怎么让第三方脚本重新加载?
我在用 React 做一个 GDPR 合规的 Cookie Banner,用户点击“接受”后,我想动态加载 Google Analytics 这类第三方脚本。但试了几次,脚本好像没生效,是不是我加的方...
-
2
回答
68浏览
pnpm audit 报告高危漏洞但不知道怎么修复怎么办?
我用 pnpm 管理项目依赖,今天运行 pnpm audit 时发现好几个高危漏洞,但提示信息太模糊了,根本不知道该升级哪个包或者怎么处理。 比如它说某个间接依赖有原型污染问题,但我查了 packag...
-
2
回答
22浏览
Nikto扫描结果看不懂,怎么判断哪些是真漏洞?
我用Nikto扫了自己搭的测试站点,出来一堆警告,但分不清哪些是真的安全问题,哪些是误报。比如它说“/server-status”可访问,但我根本没开这个模块,这算漏洞吗? 试过对照OWASP Top...
-
2
回答
32浏览
HttpOnly 能防 CSRF 吗?我是不是搞混了概念?
最近在做登录功能,看到资料说要加 HttpOnly 防止 XSS 窃取 cookie,但我以为它也能防 CSRF,结果测试发现照样能被跨站请求伪造,是不是理解错了? 比如我后端设置了 Set-Cook...
-
2
回答
44浏览
CSRF Token 刷新后前端怎么同步更新?
我在用 Axios 拦截器处理 CSRF Token 过期的情况,后端返回 419 时会刷新 token 并在响应头里带新的 XSRF-TOKEN。但我不确定怎么安全地把新 token 应用到后续请求...
-
1
回答
28浏览
前端用PBKDF2加密密码时为什么结果和后端对不上?
我在前端用Web Crypto API实现PBKDF2加盐哈希,但生成的密钥和后端Python的结果完全不一样。明明盐值、迭代次数、密钥长度都一样,是不是哪里调用错了? 我试过把salt转成Uint8...
