安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
32浏览
前端如何根据用户权限动态隐藏敏感字段?
我在做后台管理系统,不同角色看到的字段不一样,比如普通用户不能看“薪资”字段。现在我用 Vue 做列表展示,但不知道怎么优雅地控制字段显示,硬写 v-if 感觉太乱了。 试过在组件里加判断,但字段一多...
-
2
回答
24浏览
安全需求阶段前端要做什么?
我们团队刚开始引入安全开发生命周期(SDL),现在卡在“安全需求”这一步。作为前端,我不太清楚自己该提哪些具体的安全需求,比如是不是所有用户输入都要过滤?还是说只要后端处理就行? 我试过在表单提交前用...
-
2
回答
54浏览
生物识别认证后如何安全传递用户身份?
我在用 Web Authentication API 做指纹登录,验证通过后怎么把用户身份传给后端才安全?直接发 user ID 会不会被伪造? 现在前端拿到 PublicKeyCredential ...
-
1
回答
30浏览
前端项目中如何用SAST工具检测XSS漏洞?
最近在做安全开发生命周期的实践,想在CI里集成SAST工具自动扫描XSS问题。但试了几个工具(比如SonarQube、ESLint插件)都没能准确识别出我这段模板里的危险用法,是我写法太隐蔽还是配置不...
-
1
回答
56浏览
前端用AES加密数据后,后端解密失败是怎么回事?
我在前端用 CryptoJS 做 AES 加密,把用户输入的敏感信息加密后再发给后端。但后端(PHP)一直解密失败,说 padding 或 key 不对。我确认 key 和 iv 是前后端一致的,也用...
-
1
回答
31浏览
打包后如何彻底隐藏 Source Map 文件?
我用 Vite 打包上线项目,发现即使没手动开启 source map,浏览器还是能通过 .map 后缀猜到并加载源码映射文件,这不就暴露了原始代码结构? 我已经在 vite.config.js 里设...
-
2
回答
58浏览
前端请求被IP白名单拦截怎么办?
我们后端接口加了IP白名单,只允许服务器IP访问。但我本地开发时用axios发请求,总被拒绝,提示“IP not allowed”。这不就没办法联调了吗? 我试过在请求头加X-Forwarded-Fo...
-
2
回答
65浏览
JWT过期后如何自动刷新而不让用户重新登录?
我用JWT做用户认证,token一小时过期。现在的问题是,用户操作到一半突然跳回登录页,体验太差了。我看别人说可以用refresh token自动续期,但具体怎么在前端安全地实现? 我试过在每次请求前...
-
2
回答
34浏览
Cookie签名后怎么验证才安全?
我在用 Express 写登录功能,后端用 cookie-parser 签了名的 Cookie,但前端每次读取的时候都拿不到原始值,只看到带 .sig 的一串。我试过直接用 document.cook...
-
1
回答
44浏览
Nikto扫描本地开发环境报错怎么解决?
我在用Nikto扫描本地Vue项目时,执行 nikto -h http://localhost:8080 总是提示连接被拒绝,明明dev server已经跑起来了,端口也确认没被占用,这是啥原因? 尝...
-
1
回答
45浏览
Nikto扫描报出Vue前端有安全漏洞,但我没写后端啊?
我用Nikto扫了本地开发的Vue项目,结果报了一堆“OSVDB”和“CGI”漏洞,可我这明明只是个纯前端静态页面,连后端接口都还没接,怎么会有这些漏洞?是不是误报? 我试过把项目build后用htt...
-
2
回答
32浏览
代码混淆后的时间检测怎么绕过?
我在做前端反调试练习,用工具混淆了代码,里面加了时间检测逻辑,一运行就直接跳转或清空页面,根本没法调试。试过在控制台覆盖 Date.now(),但好像没生效。 比如混淆后的代码里有类似这样的判断: v...
-
2
回答
55浏览
Sandbox属性能防点击劫持吗?为什么加了还是被嵌入iframe?
我最近在做安全加固,听说用 iframe 的 sandbox 属性可以防止点击劫持,就在我们 React 项目的主页面加了 allow-same-origin 和 allow-scripts,但测试时...
-
1
回答
56浏览
前端怎么防止接口请求被重放攻击?
最近在做支付相关的功能,后端要求每个请求都要防重放,但我作为前端不太清楚该怎么配合。我试过加时间戳,但好像还是能被截获重放。 现在用的是 Vue3 + Axios,下面是我目前的请求封装,是不是缺了什...
-
2
回答
34浏览
CORS 中设置 credentials 为 true 为什么还是报错?
我在前端用 fetch 请求后端接口,需要携带 cookie,所以加了 credentials: 'include'。后端也设置了 Access-Control-Allow-Credentials: ...
-
2
回答
91浏览
HttpOnly Cookie 为什么前端读不到?是我设置错了吗?
我在后端设置了带 HttpOnly 的 Cookie,但前端用 document.cookie 怎么都读不到,是不是我哪里配置错了? 后端是用 Node.js 写的,代码大概是这样的: res.coo...
-
2
回答
44浏览
GET请求里带操作参数会被CSRF攻击吗?
我最近在做用户删除功能,后端同事说不能用GET请求做删除,但我看有些老接口还是用GET传id删数据。现在我用React写了个按钮,点一下就发GET请求删用户,但安全扫描工具报了CSRF风险,这到底是不...
-
2
回答
40浏览
Referer检查防CSRF真的可靠吗?为什么我设置了还是被绕过?
我们后端加了Referer检查来防CSRF,但测试时发现攻击者用空Referer或者同域跳转就能绕过。我前端也试过加一些header,但好像没用。是不是这种防护方式本身就不太靠谱? 另外,我在页面里用...
-
1
回答
48浏览
前端如何配合后端做好CSRF防护?状态变更操作总被拦截怎么办?
我们项目里用的是 cookie + CSRF token 的方案,后端要求所有修改数据的请求(比如 POST、PUT)都必须带一个叫 X-CSRF-Token 的 header。但我发现每次提交表单时...
-
2
回答
24浏览
前端用OAuth2.0登录时,如何安全地处理access_token?
我正在用Vue做第三方登录,后端用的是OAuth2.0授权码模式。现在的问题是,拿到access_token之后,不知道该存在localStorage还是cookie里,听说都有安全风险。而且我试过把...
