安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
45浏览
Cross-Origin-Opener-Policy 设置后为什么页面打不开新窗口了?
我在 Vue 项目里加了 Cross-Origin-Opener-Policy: same-origin 安全头,结果用 window.open 打开新页面时直接被拦截了,控制台报错说“Blocked...
-
1
回答
31浏览
前端如何避免用户隐私数据被意外泄露?
最近在做用户信息展示功能,发现控制台打印了包含手机号和身份证的完整对象,担心这些敏感字段会被不小心传到日志或错误上报系统里。有没有办法在开发阶段就自动过滤掉这些字段? 我试过在输出前手动删字段,但每次...
-
2
回答
33浏览
SameSite属性设置后为什么跨站请求还是被拦截了?
我在登录接口的 Set-Cookie 响应头里加了 SameSite=Lax,但前端从另一个域名发 POST 请求时,浏览器还是没带 Cookie,这是为啥? 我试过改成 SameSite=None,...
-
2
回答
37浏览
依赖更新后组件报错,该怎么处理?
我用 Vue 3 写了个简单的用户卡片组件,之前一直好好的。昨天运行 npm update 把依赖全升到最新,结果控制台报错说 defineProps is not defined,完全不知道咋回事。...
-
2
回答
26浏览
前端请求被限频了怎么办?怎么处理接口频率限制?
我最近在做登录功能,连续输错几次密码后,后端返回 429 Too Many Requests,但前端没做任何提示或限制。用户根本不知道要等多久才能再试,体验很差。我想在前端加个倒计时提示,但不确定该怎...
-
2
回答
37浏览
CSP 的 report-to 在 React 中怎么配置才生效?
我在项目里加了 Content Security Policy,想用 report-to 收集违规报告,但浏览器控制台一直报错说找不到 report-to 端点,根本没发请求。我后端明明配好了 /cs...
-
2
回答
39浏览
CORS白名单配置后前端还是跨域,咋回事?
我后端已经加了CORS白名单,只允许我们自己的域名访问,但本地开发时用 localhost:8080 还是报跨域错误,是不是哪里没配对? 我在 Vue 里是这样发请求的: <script set...
-
2
回答
54浏览
Vue里用v-html渲染用户输入内容会有XSS风险吗?
我在做一个评论功能,后端返回的评论内容可能包含换行和简单格式,所以前端用 v-html 来渲染。但听说这样容易有 DOM-based XSS,到底该怎么处理? 比如下面这段代码,如果用户输入了 <...
-
2
回答
47浏览
前端如何安全地处理多因素认证的第二步验证?
我在做登录流程,第一步密码验证通过后要跳转到 MFA 页面输入验证码。但不确定该不该在前端存用户的临时凭证(比如用 sessionStorage),怕有安全风险。 现在后端返回了一个 temp_tok...
-
2
回答
37浏览
Nessus扫描报前端JS有安全风险,这代码真有问题吗?
最近用Nessus扫我们项目,说前端这段JS存在“客户端脚本注入”风险,但我只是在做URL参数解析啊,这算漏洞吗? 我试过对参数做encodeURIComponent,但Nessus还是报同样的问题,...
-
2
回答
27浏览
用ORM就真的不会SQL注入了吗?
我最近在用 Sequelize 写接口,听说 ORM 能防 SQL 注入,但心里还是不踏实。比如下面这种写法: const user = await User.findOne({ where: { i...
-
2
回答
29浏览
Burp Suite 拦截不到本地前端请求怎么办?
我用的是 React 开发,本地启动 http://localhost:3000,浏览器也配置了 Burp 的代理(127.0.0.1:8080),但 Burp 完全没抓到任何请求。试过关闭 HTTP...
-
2
回答
31浏览
DOMPurify 清洗后为啥还是能执行 XSS?
我用 DOMPurify 处理用户输入的 HTML,但发现某些脚本居然还能执行,是不是我用错了? 比如这段代码: const dirty = '<img src=x onerror=alert(...
-
2
回答
43浏览
strict-dynamic 下 Vue 动态组件加载被 CSP 阻止怎么办?
我在项目里启用了 CSP 的 strict-dynamic 策略,结果 Vue 的动态组件渲染直接被浏览器拦了,控制台报“Refused to execute inline script”。明明没写内...
-
1
回答
38浏览
JSONP还能用吗?为什么现在都说是安全风险?
最近在重构一个老项目,发现它还在用 JSONP 跨域请求第三方数据。我查了下资料,说 JSONP 有 XSS 风险,但又没太明白具体怎么出问题的。我自己试着重构成 fetch + CORS,但对方接口...
-
2
回答
57浏览
CORS 请求中 Access-Control-Allow-Headers 到底该怎么配?
我在前端用 fetch 发了个带自定义 header 的请求,比如 X-Custom-Token,但浏览器报错说这个 header 被 CORS 策略拦了。后端是用 Express 写的,我已经加了 ...
-
2
回答
34浏览
前端做威胁建模时,用户输入直接渲染到页面会不会有XSS风险?
我最近在学安全开发生命周期,尝试给一个简单的评论功能做威胁建模。我发现用户提交的评论内容会直接通过 innerHTML 插入到页面里,虽然现在只是本地测试,但总觉得这样不安全。我试过用 DOMPuri...
-
2
回答
49浏览
Session绑定CSRF Token后前端怎么正确发送?
我后端用Session存了CSRF Token,登录后返回给前端,但我每次提交表单时还是被拦截。是不是我发请求的方式不对? 我试过把token放在header里,也试过放在body里,但都失败了。后端...
-
2
回答
24浏览
前端请求加了 Nonce 为啥还是被拦截?
我在做 CSP 安全策略,给每个 fetch 请求加了 Nonce,但浏览器还是报“Refused to execute inline script”错误,根本没走到请求那步。是不是我理解错了 Non...
-
2
回答
41浏览
前端被XSS攻击了,应急响应该怎么做?
我们线上 Vue 项目突然收到用户反馈,页面里弹出了奇怪的 alert,怀疑是 XSS 攻击。我看了下代码,确实有个地方直接用了 v-html 渲染用户输入的内容,但之前没做任何过滤。现在想知道:一旦...
