安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
25浏览
X-Frame-Options 设置后为什么页面还是能被嵌入 iframe?
我在项目里加了 X-Frame-Options: DENY 响应头,但发现别人还是能用 iframe 把我的 React 页面嵌进去,完全没生效。是我配置错了吗? 后端是用 Nginx 配的 head...
-
1
回答
22浏览
CORS配置后为什么还是报跨域错误?
我在本地开发时用的是 http://localhost:3000,后端接口在 http://localhost:8080。明明已经在后端加了 CORS 配置允许 origin,但浏览器还是报跨域错误,...
-
2
回答
48浏览
JavaScript协议链接会被XSS攻击吗?怎么防?
我在项目里有个地方要动态生成超链接,用户可以输入URL,但我发现如果输入 javascript:alert(1) 这种,点击就会执行脚本,这算XSS漏洞吧? 我试过用正则过滤 javascript:,...
-
2
回答
31浏览
CORS设置通配符*真的不安全吗?
我在开发一个前端项目,后端接口为了方便直接设置了 Access-Control-Allow-Origin: *,本地测试没问题,但上线后被安全扫描工具报了“CORS通配符风险”。我查了资料说这样会允许...
-
2
回答
27浏览
Access-Control-Allow-Origin 设置了还是报跨域错误?
我在本地开发 React 应用时,调用公司内网的一个 API 接口,后端同事说已经加了 Access-Control-Allow-Origin: *,但我这边还是报跨域错误。我试过在 fetch 里加...
-
2
回答
26浏览
权限刷新后样式没更新,是缓存问题吗?
我在做前端权限控制,用户切换角色后动态加载菜单和按钮权限,但发现有些按钮的显示状态没变。强制刷新页面才生效,是不是哪里缓存了? 我试过在权限变更后调用 Vue 的 $forceUpdate(),也清过...
-
2
回答
25浏览
JavaScript协议链接也会触发XSS吗?
我在做富文本展示功能,用户输入的内容里可能包含超链接。我过滤了标签,但发现如果链接是javascript:alert(1)这种形式,点击后还是会执行代码,这算XSS漏洞吗? 我试过用正则匹配href属...
-
1
回答
24浏览
前端权限控制怎么做才安全?
我在用 Vue 做后台管理系统,现在想根据用户角色显示不同菜单。但听说前端鉴权只是“障眼法”,后端不校验照样能被绕过?那我前端还有必要做权限控制吗? 目前我是这样写的: const userRole ...
-
2
回答
23浏览
点击劫持Self检测为啥没生效?
我按照网上教程加了点击劫持的Self检测,但嵌套在iframe里还是能正常加载,根本没被拦截。是我写法有问题吗? 我试过在页面顶部加这段CSS: body { display: block !impo...
-
1
回答
27浏览
Access-Control-Allow-Origin 设置了还是跨域报错?
我在本地开发时用 fetch 请求后端接口,明明在响应头里加了 Access-Control-Allow-Origin: *,但浏览器还是报跨域错误,这是为啥? 后端是用 Node.js 写的,代码大...
-
1
回答
37浏览
点击劫持防护中 top 检测为啥失效了?
我在做点击劫持防护,按照网上教程加了 top !== self 的判断,但嵌套在 iframe 里还是能正常加载,没被拦截,这是为啥? 我试过在页面最顶部加这段脚本,也确认没被其他逻辑绕过,但就是不生...
-
2
回答
29浏览
CSP 的 hash 值怎么算才对?为什么我加了还是报错?
我在给一个内联脚本加 CSP 的 hash 策略,但浏览器一直报违反策略。我用的是 sha256,命令是 echo -n "alert('hello')" | openssl dgst -sha256...
-
2
回答
24浏览
pnpm audit 报告高危漏洞,但不知道怎么修复?
我用 pnpm 管理项目依赖,今天运行 pnpm audit 时提示有个高危漏洞,说是 axios 版本太低。但我明明在 package.json 里写的是 "axios": "^1.6.0",也重新...
-
2
回答
87浏览
前端代码混淆后,怎么防止别人通过 DevTools 轻松还原样式?
我最近在做项目上线前的代码保护,用工具把 JS 混淆了,但发现 CSS 样式还是能被直接在 DevTools 里看到,甚至改几行就能绕过一些限制。比如我写了段隐藏调试面板的样式,结果别人一打开控制台就...
-
1
回答
22浏览
点击劫持Self检测为啥不生效?
我在页面里加了X-Frame-Options: SAMEORIGIN,但用iframe嵌套自己域名的页面还是被拦了,这不应该是允许的吗? 试过在Nginx里配:add_header X-Frame-O...
-
2
回答
36浏览
Vue里用javascript:协议跳转会触发XSS警告怎么办?
我在做一个动态链接渲染的功能,用户可以输入URL,但有些老数据里带的是 javascript:alert(1) 这种。我直接绑定到 <a :href="userUrl"> 上,结果控制台报...
-
2
回答
30浏览
前端如何根据ACL动态控制按钮显示?
我们后端返回的用户权限是类似 {"user:delete": true, "post:edit": false} 这样的ACL结构。现在我想在React组件里根据这个权限决定“删除用户”按钮要不要渲染...
-
1
回答
23浏览
React里用dangerouslySetInnerHTML怎么防XSS?
我在用 React 渲染后台返回的富文本内容,必须用 dangerouslySetInnerHTML,但担心用户输入里有恶意脚本。试过直接插入,结果页面真被注入了 alert,这咋办? 有没有轻量又靠...
-
1
回答
46浏览
前端渗透测试中如何防范CSS注入攻击?
我在做安全测试时,发现用户输入的样式能直接渲染到页面上,担心有CSS注入风险。比如下面这段动态生成的CSS: .user-style { background: url(' + userInput +...
-
2
回答
37浏览
前端能用 PBKDF2 加密密码吗?
我在做登录功能,想在前端对用户密码加个 PBKDF2 哈希再传给后端,但不确定这到底安不安全。 试了下用 Web Crypto API,代码跑是能跑,但感觉好像没啥意义?因为如果攻击者拿到哈希值,直接...
