安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
25浏览
CSP 启用 strict-dynamic 后 Vue 动态组件加载失败怎么办?
我在项目里加了 Content-Security-Policy,用了 'strict-dynamic',结果 Vue 的动态组件就报错了,控制台提示 script 被阻止。明明没写内联脚本啊,是不是 ...
-
1
回答
23浏览
前端安全测试中如何防止XSS攻击?
我在做安全测试时发现,用户输入的内容直接渲染到页面上可能会被注入脚本。比如下面这个React组件,虽然用了 dangerouslySetInnerHTML,但不确定怎么安全地处理用户输入。 const...
-
1
回答
33浏览
点击劫持防护中 top 检测为啥失效了?
我按照网上教程加了点击劫持的 top 检测逻辑,但嵌入 iframe 后页面还是能正常加载,没被跳出去。是我写法有问题吗? 试过在 Chrome 里用本地文件打开测试,也试过部署到服务器上,结果都一样...
-
1
回答
28浏览
前端请求加签后后端验签失败是怎么回事?
我在前端用用户密钥对请求参数做SHA256加签,但后端老是说签名不匹配,明明参数排序和拼接都按文档来了啊。 试过把时间戳、nonce这些字段都加上,也确认了密钥没传错,可还是不行。是不是我加密的方式有...
-
1
回答
30浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在项目里加了 Cross-Origin-Embedder-Policy: require-corp 安全头,结果页面上很多第三方图片直接挂了,控制台报错说“Blocked by CORP”。 这些图...
-
1
回答
27浏览
npm audit 报高危漏洞,但我不确定要不要升级依赖?
我刚跑完 npm audit,提示有个高危漏洞在 lodash 里,建议升级到 4.17.21。但我项目里用的是 4.17.20,而且目前功能都正常。有点纠结要不要升,怕升级后和其他依赖冲突。之前试过...
-
1
回答
32浏览
CORS请求中Referrer检查到底有没有用?
我最近在做前端调用后端API,遇到CORS问题。后端同事说他们加了Referrer检查来防止跨域请求,但我听说这并不安全?我自己试了一下,发现即使设置了Referer,浏览器还是会因为CORS策略拦掉...
-
1
回答
26浏览
子域名 CORS 配置到底该怎么写才安全?
我们前端部署在 app.example.com,后端 API 在 api.example.com,现在跨域请求一直被拦。试过在后端设置 Access-Control-Allow-Origin: htt...
-
1
回答
28浏览
前端能直接用安全多方计算保护用户隐私吗?
最近在做一个医疗数据展示的 Vue 项目,需要多个医院协作计算统计结果但不能泄露原始数据。我查到安全多方计算(MPC)可以解决这类问题,但不确定前端能不能直接集成。试了下想在组件里调用 MPC 库,但...
-
1
回答
37浏览
点击劫持防护加了X-Frame-Options为啥还是被UI覆盖?
我在项目里加了 X-Frame-Options: DENY 响应头,但测试时发现攻击者还是能用透明iframe覆盖我的按钮,这是不是说明这个头没生效? 后端确认响应头已经正确返回了,浏览器也显示收到了...
-
1
回答
33浏览
GET请求能用来提交敏感操作吗?CSRF怎么防?
我最近在做用户删除功能,后端同事说用GET请求删数据没问题,但我听说GET不应该用来做状态修改的操作。现在有点懵,到底能不能用GET?如果必须用POST,那在Vue里怎么加CSRF token啊? 我...
-
1
回答
37浏览
前端用 CryptoJS 做 SHA256 摘要为什么结果和后端不一致?
我在登录时需要对密码做 SHA256 消息摘要再传给后端,但加密后的值老是对不上。后端说是 hex 编码,我也用了 hex,可结果就是不一样。 我用的是 CryptoJS,代码大概这样: const ...
-
1
回答
36浏览
为什么我的简单请求还会被CORS拦截?
我在本地开发一个前端页面,用 fetch 向公司内网的一个 API 发起 GET 请求,明明没带自定义 header,也没用 JSON body,按理说是 simple request,应该不会触发 ...
-
2
回答
32浏览
前端如何用安全沙箱防止XSS攻击?
最近在做一个富文本编辑器的功能,用户可以输入HTML内容,但我担心XSS问题。听说可以用沙箱隔离,比如把内容放到iframe里?我试过动态创建iframe然后写入内容,但样式全乱了,而且有些脚本还是能...
-
1
回答
25浏览
用户没点同意就发请求,怎么拦住?
我做了一个带用户行为追踪的页面,按法规得先让用户同意才能发分析请求。但我发现即使用户还没点“同意”,有些接口还是会偷偷发出去,这明显违规了。我试过在请求前加个判断,但好像时机不对,还是有漏网之鱼。 比...
-
1
回答
34浏览
前端请求后端接口时,错误信息会不会导致SQL注入风险?
我最近在做登录功能,后端用的是Node.js + MySQL。之前听说如果错误信息暴露太多,可能会被用来做SQL注入攻击。我现在catch到数据库错误就直接把err.message返回给前端了,这样是...
-
1
回答
21浏览
npm audit 报高危漏洞但没法自动修复怎么办?
我跑 npm audit 时提示有个高危依赖漏洞,但执行 npm audit fix 却说“无法自动修复”,手动升级又怕项目崩了,这该怎么处理? 试过加 --force 参数,结果一堆依赖冲突,本地开...
-
1
回答
102浏览
CORS请求中 credentials 设置为 true 为啥还是报错?
我在前端用 fetch 调用自己后端的登录接口,设置了 credentials: 'include',但浏览器一直报 CORS 错误,说不能携带凭证。后端明明加了 Access-Control-All...
-
1
回答
18浏览
Trusted Types 在 React 中怎么正确使用?
我在项目里启用了 Trusted Types 策略,但一用 innerHTML 就报错,说违反了策略。我试过用 createHTML,但不知道在 React 里该怎么集成。 比如下面这段代码,在 us...
-
1
回答
25浏览
HSTS 头配置后 HTTPS 重定向失效了?
我在 Nginx 里加了 Strict-Transport-Security 头,但发现原本的 HTTP 自动跳转 HTTPS 不生效了,这是为啥? 我之前是用 return 301 https://...
