安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
52浏览
动态权限控制中如何防止样式覆盖导致的越权漏洞?
在实现动态权限控制时,我用CSS根据用户角色显示/隐藏菜单项,但发现低权限用户可以通过浏览器修改CSS看到高权限菜单。比如用这样的样式: .user-menu { display: none; } ....
-
2
回答
69浏览
密码长度要求8位是否足够?有没有更好的方案?
最近在开发注册页面的密码验证功能,后端要求密码最低8位,但我在网上看到很多专家建议至少12位。如果只设置8位会不会太容易被破解? 我试过用正则表达式限制长度:#password-strength { ...
-
2
回答
57浏览
为什么在GET请求中添加CSRF Token反而导致接口验证失败?
在开发Vue项目时,我尝试给所有请求都加上CSRF防护。但发现当用GET请求获取数据时,把Token加到查询参数里后,后端直接返回403错误。而改成POST请求后却能正常通过验证。 我的代码是这样的:...
-
2
回答
44浏览
如何防止页面中的按钮被Strokejacking攻击?
我在开发一个在线支付页面时,发现按钮区域容易被恶意页面通过透明IFrame覆盖,导致用户误触转账操作。虽然设置了X-Frame-Options: DENY,但测试时发现攻击页面仍然能嵌套我的页面。 我...
-
2
回答
65浏览
CORS Origin检查时,为什么设置了Access-Control-Allow-Origin却还是被拦截?
我前端项目在调用后端API时遇到了CORS问题,明明在服务器响应头里设置了Access-Control-Allow-Origin: *,但Chrome还是报错"Origin http://localh...
-
2
回答
35浏览
导出Excel时如何匿名化用户手机号字段?
在做用户数据导出功能时,后端返回的数据里包含完整手机号,但公司要求导出时只能显示后四位。我尝试用字符串替换的方法: const anonymizePhone = (phone) => { ret...
-
2
回答
66浏览
PBKDF2在JavaScript中实现时迭代次数太少导致警告怎么办?
在用Web Crypto API实现密码加盐时,我按照教程设置了PBKDF2的迭代次数为1000次,但Chrome控制台报了安全警告,说迭代次数过低。尝试改成10000次后,生成密钥的延迟明显变长,用...
-
2
回答
56浏览
Vue表单提交时CSRF令牌未被服务端正确验证怎么办?
我在用Vue做用户资料编辑页时,按照文档给POST请求加了CSRF令牌,但后端总返回403错误。明明在表单里加了隐藏字段,代码也按规范写了,到底是哪里出问题呢? <template> &l...
-
2
回答
46浏览
为什么设置了X-Content-Type-Options头后图片还是被当作JS执行?
我在项目里加了X-Content-Type-Options: nosniff,但测试时发现访问图片资源时浏览器还是提示“Unexpected token <”错误,好像在尝试执行图片内容当JS。...
-
2
回答
42浏览
npm包更新后怎么确认是否应用了安全补丁?
最近公司要求把项目里lodash升级到4.17.21修复安全漏洞,但我用npm outdated检查发现还是4.17.20。然后我执行了npm update lodash,package.json里的...
-
2
回答
84浏览
React表单输入转义后SQL注入还是能攻击成功怎么办?
在React里处理用户输入时,我用了字符串替换方法转义了单引号,但测试时发现还是能执行SQL注入,这是为什么? 比如这个登录表单处理函数: handleSubmit = (event) => {...
-
2
回答
80浏览
为什么我的CSP头配置总是报错?路径和语法都没问题
我在给项目加CSP头的时候遇到奇怪的问题,明明按照文档写了meta标签,但浏览器还是提示违反CSP策略。检查过路径和语法都没问题,这是为什么啊? 代码是这样写的,设置了script-src只允许sel...
-
2
回答
112浏览
如何从日志中识别可能的XSS攻击并生成威胁情报?
最近在审计公司前端项目时,发现访问日志里频繁出现带标签的请求参数,但不确定怎么系统化分析这些威胁。比如用户提交的评论里有<script>alert('xss')</script>...
-
1
回答
82浏览
HTTPS传输中,为什么加密后的数据在后端无法正确解密?
我在做前后端数据加密时遇到个怪问题:AES加密的数据通过HTTPS发送到后端,Java那边解密总报错,明明算法都用的AES-256-CBC... 前端用的是CryptoJS这样加密的: const c...
-
2
回答
62浏览
Vue中用jsencrypt加密RSA后结果与服务端不一致怎么办?
我在做一个登录接口需要RSA加密密码字段,用jsencrypt库加密后的字符串和后端给的示例完全不一样。按照文档把公钥写成字符串,但加密结果长度不对,服务端提示密文格式错误。 代码这样写的:<t...
-
2
回答
90浏览
为什么设置了CSP后图片和字体资源还是被阻止了?
我在开发博客项目时配置了CSP头,但图片和字体资源还是被浏览器拦截了。我明明设置了和,控制台报错显示: Refused to load the image 'https://images.exampl...
-
2
回答
39浏览
混淆后的JavaScript代码怎么还是能被反编译还原?
我在项目里用terser做了代码混淆,但用在线反编译工具居然能轻松还原核心函数逻辑。比如这个加密函数: function encryptData(data) { const key = 'secret...
-
2
回答
55浏览
Vue路由权限验证时如何阻止直接输入URL访问?
最近在做Vue项目权限控制,给路由加了meta配置和导航守卫,但发现当用户直接输入受保护页面的URL时,页面还是会先闪现一下再跳转到登录页。这是怎么回事啊? 代码是这样写的: const routes...
-
2
回答
81浏览
为什么我的Double Submit Cookie防CSRF方案在登录接口失效?
我在用Double Submit Cookie防CSRF时遇到奇怪的问题:其他接口都正常,但登录接口总提示"CSRF Token mismatch"。我检查了cookie设置和请求头,代码看起来没问题...
-
2
回答
64浏览
SameSite=Strict设置后,我的表单提交为什么会失败?
我在后端给登录Cookie设置了SameSite=Strict,但发现用JavaScript提交表单时,请求头里没有携带Cookie,导致认证失败。明明同源的请求啊,这是为什么? 之前用的是SameS...
