安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
73浏览
IP白名单配置后请求仍被拦截,是什么原因?
最近在给支付接口配置IP白名单时遇到问题,明明把测试服务器IP加进去了,但前端发起请求还是被返回403。检查过防火墙规则没问题,白名单代码也按文档写了,但就是通不过验证。测试用的是本地开发环境,可能跟...
-
2
回答
51浏览
富文本编辑器存储内容后渲染时如何有效拦截XSS攻击?
我在用Quill编辑器实现富文本功能时遇到问题,用户输入的<script>标签在存储到数据库后仍然会被渲染执行。之前用sanitize-html做了过滤,但发现标签被正常保留,而恶意脚本却...
-
2
回答
115浏览
设置了HSTS头但浏览器还是提示不安全,哪里出问题了?
我给项目加了Strict-Transport-Security头,代码是这样写的: app.use((req, res, next) => { res.setHeader('Stric...
-
2
回答
50浏览
Node.js如何同时实现SQL注入防护和最小权限原则?
我在用TypeScript+Knex.js开发用户管理模块时遇到问题。现在给数据库配置了最小权限的只读用户,但发现如果用参数化查询的话,这个用户连基本的SELECT权限都不够用,而如果直接拼接SQL又...
-
2
回答
50浏览
React密码强度验证如何有效检测特殊字符?
我在做一个密码强度验证的React组件,要求密码必须包含至少一个特殊字符。写了正则表达式检测,但检测总是失败,明明输入了@符号也没反应,哪里出问题了? 这是我的表单处理代码,用了onChange实时验...
-
2
回答
73浏览
为什么Renovate更新依赖后构建突然失败?
我在项目里配置了Renovate自动更新依赖,昨天成功更新了lodash到4.17.23,但今天构建时突然报错TypeError: _lodash.default.debouce is not a f...
-
2
回答
62浏览
为什么设置CORS的’Access-Control-Allow-Origin’为’*’时存在安全风险?
我在开发一个前后端分离的项目,前端用fetch调用另一个域名的API时,后端设置了Access-Control-Allow-Origin: *,虽然能正常跨域请求了,但看到资料说这样有安全风险。试过改...
-
1
回答
78浏览
React组件内联样式Nonce验证一直报CSP错误怎么办?
在React项目里用Content-Security-Policy配置了nonce验证,但动态生成的nonce在组件内联样式里老是触发CSP错误,怎么办啊? 我按照文档在服务端设置了nonce头,然后...
-
2
回答
87浏览
代码混淆后动态生成的HTML元素报错找不到,该怎么保证代码完整性?
我在给Vue项目混淆代码时用了Terser,结果发现原本能正常工作的动态DOM操作突然报错"Cannot read property 'addEventListener' of null"。比如这个按...
-
2
回答
72浏览
React调用第三方API报CORS错误,明明设置了headers还是不行?
在React项目里用fetch调用天气API时遇到跨域问题,明明按照网上的方法设置了headers里的'Content-Type',但控制台还是报: fetch('https://api.w...
-
2
回答
28浏览
混淆后的WebAssembly模块加载报错怎么办?
我刚用JavaScript-obfuscator混淆了项目中的WebAssembly模块,结果页面直接报错“Uncaught SyntaxError: Wasm decoding failed: ex...
-
2
回答
59浏览
Vue中使用v-html时如何避免XSS漏洞?
在Vue项目里用v-html渲染用户输入的内容时,发现输入的alert(1)居然真的弹窗了。我试过用replace替换尖括号,但复杂HTML结构就乱了,怎么安全地处理用户输入避免XSS? <te...
-
2
回答
42浏览
访问日志里的user_id偶尔变成undefined该怎么排查?
我在前端做安全审计时发现,用户访问日志里的user_id字段偶尔会变成undefined,但其他字段比如timestamp和path都正常。已经检查过登录拦截逻辑,发现当用户从第三方登录跳转回来时问题...
-
2
回答
27浏览
访问日志里的用户IP怎么总是显示内网地址?
我在给项目做安全审计时发现,记录的访问日志里用户IP都是172.16.0.1这类内网地址,但实际用户应该是在外网访问的。 之前后端用了express框架,直接取req.ip,部署到服务器后发现全是Ng...
-
2
回答
54浏览
前端用CryptoJS RSA加密后服务端解密报padding错误怎么办?
我用CryptoJS的RSA.encrypt加密字符串,传到PHP服务端用openssl_private_decrypt解密时一直报错"error:0407106B:RSA routines:RSA_...
-
2
回答
40浏览
为什么OWASP Dependency-Check扫描我的React项目时总显示lodash有漏洞?
我用React开发项目时用了lodash,昨天跑OWASP扫描突然提示lodash有高危漏洞CVE-2023-30127。我明明在package.json里装的是最新的4.17.23版本啊,这是怎么回...
-
2
回答
52浏览
Fuzzing测试时如何处理JavaScript中的内存泄漏问题?
最近在给前端项目做Fuzzing测试时,发现当随机输入达到一定量后内存持续上涨,但正常测试用例没问题。试过用Chrome DevTools的内存面板做了堆快照对比,但没找到明显内存泄漏对象。 代码是这...
-
2
回答
330浏览
为什么用AES加密后前端和后端的密文结果不一致?
我在给表单数据做AES加密时遇到奇怪的问题。用前端库加密后的密文,后端用同样的密钥解密总报错。之前用jsencrypt试过RSA没问题,换成AES-256-CBC后就乱了。 前端代码是这样的: con...
-
2
回答
33浏览
W3af扫描显示SQL注入漏洞,但手动测试没问题,哪里出错了?
用W3af扫描公司登录接口时,它提示存在SQL注入漏洞,但我在Postman里试了' OR '1'='1之类的payload完全没反应。后端用了参数化查询,是不是W3af误报了? 我按教程配置了gre...
-
2
回答
34浏览
React表单提交如何防止CSRF攻击?隐藏字段没生效?
在React项目里做订单取消功能,用隐藏字段传CSRF令牌,但提交时后端返回403错误。代码是这样写的: function CancelOrderForm() { const [csrfToken, ...
