安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
28浏览
前端加密时密钥怎么安全交换?
我最近在做用户敏感数据的前端加密,打算用 AES,但卡在密钥交换这一步了。后端生成的密钥直接通过 HTTPS 返回给前端,这样真的安全吗?会不会被中间人拿到? 我试过用 RSA 公钥加密 AES 密钥...
-
2
回答
31浏览
Framebuster 防点击劫持代码为啥在某些浏览器里失效了?
我最近在项目里加了个防点击劫持的 Framebuster 脚本,但测试时发现 Chrome 和 Firefox 表现不一致——有时候页面还是能被嵌入 iframe。我明明写了判断 top 是否等于 s...
-
2
回答
45浏览
CORS 中 Access-Control-Allow-Methods 设置后为啥还是报错?
我前端用 fetch 发了个 DELETE 请求,但浏览器控制台一直报 CORS 错误,说 method 不被允许。后端明明已经加了 Access-Control-Allow-Methods: GET...
-
2
回答
54浏览
JS混淆后代码报错怎么排查?
我用在线工具把一段JS代码混淆了,结果在浏览器里直接报错,控制台显示Uncaught SyntaxError: Unexpected token '}',但原代码明明能正常运行啊。 混淆前的代码是这样...
-
2
回答
33浏览
yarn.lock 里的依赖有安全漏洞,我该手动改它吗?
最近用 GitHub 的 Dependabot 扫描项目,发现 yarn.lock 里有几个底层依赖有中危漏洞。但这些包不是我直接装的,是被其他依赖带进来的。我试过删掉 node_modules 和 ...
-
2
回答
63浏览
npm audit 报了高危漏洞,但补丁版本还没发,怎么办?
项目里用的 lodash 被 npm audit 标成高危漏洞,说是原型污染问题。可我查了官方仓库,最新版还是 4.17.21,根本没发安全补丁。 我已经试过手动升级到最新版,也清了缓存重装,但漏洞还...
-
2
回答
42浏览
请求头验证 CSRF 为什么还是被拦截了?
我在前端用 fetch 发请求时加了自定义请求头 X-Requested-With: XMLHttpRequest,后端也配置了验证这个头,但 CSRF 攻击测试时还是被拦截了,这是为啥? 我试过在登...
-
2
回答
70浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在项目里加了 Cross-Origin-Embedder-Policy: require-corp 这个安全头,结果页面里的跨域图片全挂了,控制台报错说需要 CORS 或者使用 crossorigi...
-
2
回答
62浏览
前端项目中如何规范处理安全漏洞修复流程?
我们团队最近在做SDL(安全开发生命周期),但对前端这块的漏洞管理有点懵。比如发现一个XSS风险,改完代码后,怎么确保它被正确记录、验证和关闭? 试过在Jira里建个ticket,但不知道要不要关联c...
-
2
回答
137浏览
项目里 npm audit 报了 CVE 漏洞,但我不确定要不要升级依赖?
我跑 npm audit 时发现有个中危的 CVE(CVE-2023-XXXXX),影响的是一个间接依赖 lodash,但我的代码里根本没直接用它。升级主依赖可能会破坏现有功能,这到底该不该处理? 这...
-
2
回答
61浏览
Data URL 在 Vue 中如何安全地用于图片 src 防 XSS?
我在 Vue 项目里用用户上传的 base64 图片直接赋值给 img 的 src,担心会有 XSS 风险。比如下面这样写: <template> <img :src="userPr...
-
2
回答
44浏览
前端能用 Metasploit 做什么安全测试吗?
我最近在学 Web 安全,看到很多人用 Metasploit,但它是 Ruby 写的,主要搞后端渗透吧? 作为前端开发者,我试过在本地用 msfconsole 扫描自己搭的 Vue 项目,结果连 XS...
-
2
回答
77浏览
Renovate 自动升级依赖后 React 组件报错怎么办?
我用 Renovate 自动更新了项目依赖,结果一个原本正常的 React 组件突然报错说 “React is not defined”,但本地开发时完全没问题。是我配置错了还是需要额外处理? 出问题...
-
2
回答
87浏览
前端如何在表单中默认隐藏用户敏感信息?
我在做一个用户资料编辑页,表单里有手机号和身份证号这些字段。现在页面加载时会直接显示完整信息,但产品要求默认只显示部分脱敏内容(比如 138****1234),用户点击“编辑”才显示完整值。我试过在 ...
-
1
回答
60浏览
如何防止Cookie被窃取导致Session劫持?
我在开发一个Vue+Node.js的项目时,给Cookie设置了Secure和HttpOnly,但测试时发现通过XSS漏洞依然能获取到Session值。比如用户访问恶意链接后,控制台会执行这段代码: ...
-
2
回答
58浏览
SameSite=None; Secure设置后,为何本地开发环境还是报CSRF错误?
我在后端设置了Cookie的SameSite为None并加上了Secure属性,但本地开发环境用HTTPS运行时,跨域请求还是被报CSRF错误。明明生产环境没问题,本地环境该怎么调试啊? 尝试过这样配...
-
2
回答
29浏览
CSP报告端点配置后收不到任何报告怎么办?
我在本地测试Content-Security-Policy时设置了report-uri,但控制台有违反记录却收不到报告,到底是哪里出问题了? 按照教程配置了CSP头:Content-Security-...
-
2
回答
59浏览
React中POST请求为什么被CORS拦截?预检请求没发出去?
在React项目里用fetch发POST请求到第三方API时,浏览器突然报CORS错误。我明明设置了headers里的Content-Type为application/json,但控制台显示"Resp...
-
2
回答
53浏览
为什么用JavaScript的AES加密后,Node.js解密时总报错?
我在前端用crypto-js做AES加密,后端用Node.js的crypto模块解密,但一直报错说密文无效。两边都用了同样的AES-256-CBC算法,密钥和iv也确保一致,测试代码如下: /* 这是...
-
2
回答
55浏览
代码混淆后如何检测JavaScript中的代码完整性?
最近在给项目加代码混淆,但发现混淆后的代码每次构建都不同,之前用的文件哈希校验方法完全失效了。想请教下大家,有没有什么方法能既保持代码混淆,又能检测代码是否被非法篡改? 我之前是这样校验的:if (c...
