安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
24浏览
W3af扫描React表单时没发现CSRF漏洞,但手动测试存在缺陷
我在用W3af扫描公司新开发的React应用时,发现所有表单请求都没有检测到CSRF漏洞,但手动测试时明显能用跨站请求伪造数据。代码里确实没做CSRF令牌验证,这是为什么啊? 比如这个用户资料更新组件...
-
1
回答
19浏览
React项目SCA扫描提示lodash过期,升级后组件报错怎么办?
刚用sca扫描工具发现项目用的lodash是4.17.20,存在高危漏洞必须升级。我执行npm install lodash@latest后,页面渲染直接报错: // 组件里这样引用的 import ...
-
1
回答
11浏览
Double Submit Cookie的token怎么同时放在cookie和请求头里?
我在用Vue和Express实现Double Submit Cookie防护,但一直报错。后端设置的cookie是Secure和HttpOnly的,前端用document.cookie拿不到值。尝试在...
-
1
回答
5浏览
Vue项目中如何防止Cookie被劫持导致会话劫持?
我在用Vue做登录功能时发现,用js-cookie保存token的Cookie没设置HttpOnly,这样会不会容易被XSS攻击导致Session劫持? // 登录成功后设置Cookie的代码 met...
-
1
回答
24浏览
子域名间CORS配置为什么还是被拦截?
我在做子域名间的数据交互时遇到了CORS问题。主域名是example.com,后端接口在api.example.com,前端在www.example.com发起请求。按照教程设置了Access-Con...
-
2
回答
6浏览
前端构建时集成SAST工具总是报错怎么办?
在Webpack项目里尝试用ESLint插件集成SAST工具做静态扫描,配置了eslint-plugin-security后,构建时提示Cannot read properties of undefi...
-
1
回答
27浏览
IP白名单配置后请求仍被拦截,是什么原因?
最近在给支付接口配置IP白名单时遇到问题,明明把测试服务器IP加进去了,但前端发起请求还是被返回403。检查过防火墙规则没问题,白名单代码也按文档写了,但就是通不过验证。测试用的是本地开发环境,可能跟...
-
1
回答
6浏览
富文本编辑器存储内容后渲染时如何有效拦截XSS攻击?
我在用Quill编辑器实现富文本功能时遇到问题,用户输入的<script>标签在存储到数据库后仍然会被渲染执行。之前用sanitize-html做了过滤,但发现标签被正常保留,而恶意脚本却...
-
2
回答
74浏览
设置了HSTS头但浏览器还是提示不安全,哪里出问题了?
我给项目加了Strict-Transport-Security头,代码是这样写的: app.use((req, res, next) => { res.setHeader('Stric...
-
1
回答
11浏览
Node.js如何同时实现SQL注入防护和最小权限原则?
我在用TypeScript+Knex.js开发用户管理模块时遇到问题。现在给数据库配置了最小权限的只读用户,但发现如果用参数化查询的话,这个用户连基本的SELECT权限都不够用,而如果直接拼接SQL又...
-
1
回答
9浏览
React密码强度验证如何有效检测特殊字符?
我在做一个密码强度验证的React组件,要求密码必须包含至少一个特殊字符。写了正则表达式检测,但检测总是失败,明明输入了@符号也没反应,哪里出问题了? 这是我的表单处理代码,用了onChange实时验...
-
1
回答
27浏览
为什么Renovate更新依赖后构建突然失败?
我在项目里配置了Renovate自动更新依赖,昨天成功更新了lodash到4.17.23,但今天构建时突然报错TypeError: _lodash.default.debouce is not a f...
-
1
回答
23浏览
为什么设置CORS的’Access-Control-Allow-Origin’为’*’时存在安全风险?
我在开发一个前后端分离的项目,前端用fetch调用另一个域名的API时,后端设置了Access-Control-Allow-Origin: *,虽然能正常跨域请求了,但看到资料说这样有安全风险。试过改...
-
1
回答
40浏览
React组件内联样式Nonce验证一直报CSP错误怎么办?
在React项目里用Content-Security-Policy配置了nonce验证,但动态生成的nonce在组件内联样式里老是触发CSP错误,怎么办啊? 我按照文档在服务端设置了nonce头,然后...
-
1
回答
53浏览
代码混淆后动态生成的HTML元素报错找不到,该怎么保证代码完整性?
我在给Vue项目混淆代码时用了Terser,结果发现原本能正常工作的动态DOM操作突然报错"Cannot read property 'addEventListener' of null"。比如这个按...
-
2
回答
29浏览
React调用第三方API报CORS错误,明明设置了headers还是不行?
在React项目里用fetch调用天气API时遇到跨域问题,明明按照网上的方法设置了headers里的'Content-Type',但控制台还是报: fetch('https://api.w...
-
2
回答
9浏览
混淆后的WebAssembly模块加载报错怎么办?
我刚用JavaScript-obfuscator混淆了项目中的WebAssembly模块,结果页面直接报错“Uncaught SyntaxError: Wasm decoding failed: ex...
-
2
回答
7浏览
Vue中使用v-html时如何避免XSS漏洞?
在Vue项目里用v-html渲染用户输入的内容时,发现输入的alert(1)居然真的弹窗了。我试过用replace替换尖括号,但复杂HTML结构就乱了,怎么安全地处理用户输入避免XSS? <te...
-
1
回答
10浏览
访问日志里的user_id偶尔变成undefined该怎么排查?
我在前端做安全审计时发现,用户访问日志里的user_id字段偶尔会变成undefined,但其他字段比如timestamp和path都正常。已经检查过登录拦截逻辑,发现当用户从第三方登录跳转回来时问题...
-
1
回答
4浏览
访问日志里的用户IP怎么总是显示内网地址?
我在给项目做安全审计时发现,记录的访问日志里用户IP都是172.16.0.1这类内网地址,但实际用户应该是在外网访问的。 之前后端用了express框架,直接取req.ip,部署到服务器后发现全是Ng...
