安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
33浏览
前端项目里怎么集成SAST工具做代码扫描?
我们团队最近要落地安全开发生命周期,领导让在前端项目里加上SAST(静态应用安全测试)工具。但我试了几个,比如 ESLint 的 security 插件,还有 SonarQube,配置起来特别迷糊。 ...
-
2
回答
27浏览
前端用 Prepared Statement 能防 SQL 注入吗?
我最近在学安全防护,看到说用 Prepared Statement 可以防止 SQL 注入。但我是在写前端代码(比如用 fetch 发请求),那我在前端拼 SQL 字符串然后发给后端,是不是照样会被注...
-
2
回答
30浏览
JavaScript代码混淆后变量名乱码导致调试困难怎么办?
我用了一个在线的JS混淆工具把代码加密了,结果所有变量都变成像a1b2c3这种名字,现在线上出问题根本没法调试。有没有办法在混淆的同时保留一定的可读性,或者生成source map? 试过把混淆强度调...
-
2
回答
40浏览
Nmap扫描时怎么排除特定端口不被检测?
我用 Nmap 扫描本地开发环境,但总把 3000 和 8080 端口也扫进去,其实这些是前端 dev server,不想被当成漏洞。试过 nmap -p- --exclude-ports 3000,...
-
2
回答
40浏览
iframe加了sandbox属性怎么还是被点击劫持了?
我在项目里用<iframe sandbox>嵌了一个第三方页面,本来以为这样能防点击劫持,结果安全扫描还是报“页面可被嵌入iframe,存在点击劫持风险”。我查了文档,sandbox默认会...
-
2
回答
32浏览
前端如何在表单中安全处理用户隐私数据?
我在做一个用户注册页面,需要收集手机号和身份证号,但担心这些敏感信息被意外泄露。比如控制台打印、日志记录或者第三方脚本窃取。 目前我试过在提交前用 delete formData.sensitiveF...
-
2
回答
25浏览
Framebuster 防点击劫持为啥在某些浏览器里失效了?
我最近在项目里加了个 Framebuster 代码防止页面被嵌套,但测试发现 Safari 和部分 Chrome 版本里还是能被 iframe 嵌入,根本拦不住。是我写法有问题吗? 我用的这段 JS ...
-
1
回答
35浏览
前端用代理解决CORS问题,为什么本地开发能行上线就挂了?
我在本地开发时用 Vite 的 proxy 配置成功绕过了 CORS,请求第三方 API 没问题。但部署到线上后,直接报跨域错误,明明线上也配了 Nginx 反向代理,怎么就不生效了? 本地配置是这样...
-
1
回答
44浏览
标识符混淆后变量名变乱码,怎么调试?
我用 webpack + terser 做了代码混淆,开启了 mangle 选项,结果所有变量名都变成 a、b、c 这种短名字了。现在线上报错根本看不懂堆栈,本地也没法对应源码。 我试过加 sourc...
-
2
回答
48浏览
前端加盐哈希密码真的安全吗?
我最近在做一个登录页面,想在前端对用户密码加盐再哈希,但不确定这样是不是真的安全。听说盐值不能硬编码,可如果每次随机生成,后端怎么验证呢? 我试了用 crypto-js 库,代码大概这样: const...
-
2
回答
54浏览
CSP 的 font-src 限制导致自定义字体加载失败怎么办?
我在 React 项目里用了 Google Fonts,但部署后控制台报错说被 CSP 的 font-src 策略拦截了,明明已经在 meta 标签里加了 'self' 和 fonts.gstatic...
-
2
回答
49浏览
安全头检测失败,CSP配置到底该怎么写才对?
我在项目里加了 Content-Security-Policy 头,但用安全扫描工具一测还是报“缺少安全头”或者“CSP 配置不安全”。本地开发时用的是 nginx,已经尝试在配置里加了 add_he...
-
2
回答
36浏览
安全头配置后为什么检测工具还是报缺失?
我按照文档在 Nginx 里加了 CSP、X-Frame-Options 这些安全头,本地测试 headers 看起来都返回了,但用 SecurityHeaders.com 检测还是说 Missing...
-
2
回答
61浏览
为什么设置了Content-Type还是被后端拦截?
我在用 Vue 发送 POST 请求时,明明在 headers 里加了 Content-Type: application/json,但后端还是返回 400 错误,说 Content-Type 不合法...
-
2
回答
37浏览
X-Frame-Options 设置后为什么页面还是能被嵌入 iframe?
我在项目里加了 X-Frame-Options: DENY 响应头,但本地开发时用 iframe 引入自己的页面居然还能加载出来,是不是我配错了? 后端是用 Express 写的,代码大概是这样: a...
-
2
回答
42浏览
CORS 请求中 Referrer 检查到底安不安全?
我在做前端请求时,后端同事说他们加了 Referrer 检查来防止跨域攻击,但我听说这其实不靠谱? 比如我用 fetch('/api/data') 发请求,浏览器自动带上了 Referer 头,但这个...
-
1
回答
46浏览
前端如何处理用户同意GDPR Cookie才能加载第三方脚本?
我们网站用了 Google Analytics 和 Facebook Pixel,但欧盟用户访问时得先同意 Cookie 才能加载这些脚本。我试过用一个弹窗让用户点“同意”后再动态插入 script ...
-
1
回答
45浏览
前端做K匿名处理时怎么避免用户数据被反推?
我在用 Vue 做一个用户行为分析面板,需要对用户ID做K匿名处理,但不确定具体怎么实现才安全。比如我按年龄段和城市分组,但有些组合只有1-2个人,这样还是能被识别出来吧? 我试过把数据先聚合再展示,...
-
1
回答
47浏览
前端能自己生成密码盐值吗?
我在做用户注册功能,后端同事说密码要加盐哈希,但我看网上有些教程在前端用crypto.getRandomValues生成盐值,这样安全吗? 我试过在前端生成盐值然后和密码一起发给后端,但又担心中间被截...
-
2
回答
36浏览
HSTS配置后本地开发环境HTTPS报错怎么办?
我给线上网站加了 HSTS 头,结果本地开发时用 http://localhost:3000 打不开页面了,浏览器直接报“不安全”还拒绝加载。明明本地没配 HTTPS 啊,这咋整? 我试过清除浏览器缓...
