安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
69浏览
函数内联混淆后代码报错,该怎么排查?
最近给项目加了代码混淆,用了terser的inline设置,结果打包后页面报错"Cannot read properties of undefined (reading 'call')" 我检查过混淆...
-
1
回答
46浏览
登录失败次数限制导致用户无法正常登录怎么办?
我在做登录功能时遇到了个难题:后端设置了登录失败5次封号1小时的策略,但用户反馈经常误输密码后被封号,体验太差。我试过在前端用localStorage记录失败次数,但刷新页面就重置了。 后来改成后端用...
-
1
回答
44浏览
拖拽区域被iframe覆盖后如何防止点击劫持?
最近在开发一个拖拽上传功能时遇到个难题:页面被嵌入到其他站点的iframe中后,攻击者用透明iframe覆盖我的拖拽区域,诱导用户"误操作"。虽然设置了X-Frame-Options: deny和Co...
-
2
回答
44浏览
子域名之间设置CORS头时,Access-Control-Allow-Origin该怎么写才不会报错?
我在开发主站example.com时,子域名api.example.com返回的JSON数据总被浏览器拦截,控制台提示: Cross-Origin Request Blocked: The Same ...
-
1
回答
64浏览
Vue组件里用隐私计算库处理输入数据时,怎么防止内存泄露风险?
我在做一个需要隐私计算的表单组件,用vue3配合某隐私计算SDK,但发现输入框数据直接绑定到响应式变量后,通过浏览器开发者工具能看到明文数据。 尝试过这样写代码: <template> &...
-
2
回答
57浏览
Vue表单中如何用自定义验证确保GDPR同意框被勾选后才提交?
我在做一个用户注册表单,需要用户勾选隐私政策同意框才能提交。用了vuelidate做验证,但发现即使没勾选也能提交,代码哪里出错了? <template> <form @submit...
-
2
回答
59浏览
联邦学习中本地加密数据如何防止中间人攻击?
最近在做前端联邦学习项目,需要加密用户数据后再上传到服务端聚合。我用AES加密数据后再通过HTTPS发送,但测试时发现中间人能通过抓包获取加密密钥。看代码哪里有问题? const crypto = r...
-
2
回答
68浏览
设置X-Permitted-Cross-Domain-Policies头后为什么跨域策略文件还是能被访问?
我刚给项目加了安全头配置,把X-Permitted-Cross-Domain-Policies设置成null,但用漏洞扫描工具测试时发现crossdomain.xml文件仍然能被外部访问,这不应该是阻...
-
2
回答
82浏览
前端用AES加密大文件时页面卡顿怎么办?
在做文件上传加密时,用crypto.subtle.encrypt()给20MB文件做AES-GCM加密,发现页面会卡顿半秒左右。我尝试把文件分4MB一块加密再合并,但感觉处理大文件时依然卡顿,有没有更...
-
2
回答
141浏览
生物识别认证时,如何安全存储用户的指纹模板数据?
最近在做指纹登录功能,把加密后的指纹模板存在本地storage里,但测试时发现如果用debugger工具能看到加密字符串。尝试过用AES加密再存到后端,但担心后端数据库被攻破后密钥也会泄露,有没有更好...
-
2
回答
55浏览
React里设置了X-XSS-Protection头页面却变空白了?
最近在给React项目加固安全配置,按教程加了X-XSS-Protection头,结果页面直接变空白了。明明后端已经设置过响应头,为什么前端代码里再配置就会出问题? 我尝试在App.js里这样写: f...
-
2
回答
60浏览
React里用预编译语句防SQL注入时参数化失败怎么办?
我在React组件里用Axios调用后端查询接口,参数直接拼接到SQL字符串里了,担心SQL注入风险。按照教程改成预编译语句后,参数化一直失败,控制台报错说"参数位置无效"。 这是我的代码片段: //...
-
2
回答
57浏览
CSS样式中的expression()如何绕过事件属性过滤导致XSS?
我在开发评论系统时发现,即使过滤了所有on开头的事件属性,用户提交的CSS代码还是能触发XSS。比如有人写了个这样的样式: div { width: expression(alert('XSS'));...
-
2
回答
33浏览
前端密码策略验证总是失败怎么办?
我在做用户注册页面时要实现密码复杂度验证,要求必须包含大写字母、数字和特殊符号,且长度至少8位。但测试时发现符合要求的密码也会被拦截。 我写了这样的验证函数: function checkPasswo...
-
2
回答
65浏览
为什么我的端到端加密解密后得到乱码?
我在用JavaScript实现聊天应用的端到端加密时遇到问题,用crypto库的AES加密发送的消息,另一端解密后总是乱码。尝试过确保密钥一致和正确设置填充模式,但还是不行。代码大概是这样的: con...
-
2
回答
52浏览
React中如何防范Cookie被劫持?我的会话有时会被盗用
我在用React开发登录功能时,发现用户登录后的session_id存放在Cookie里,但最近测试时发现可以通过XSS漏洞直接读取到这个Cookie。虽然设置了HttpOnly和Secure属性,但...
-
2
回答
62浏览
Vue过滤特殊字符后为什么SQL注入还能被绕过?
在Vue项目里处理搜索框输入时,我给后端API加了引号过滤,但测试SQL注入时发现还是能绕过... 具体场景是用户输入搜索词会拼接SQL语句,我在前端用了正则过滤单双引号,但输入" OR 1=1--%...
-
2
回答
71浏览
PBKDF2导出密钥时,为什么盐值不同却得到相同密钥?
我在用Web Crypto API实现PBKDF2加密密码时遇到奇怪问题:exportKey('raw')导出的密钥,即使每次生成不同的盐值,最终得到的密钥二进制内容却完全一样? 我按照规范写了这样的...
-
2
回答
83浏览
为什么用RSA加密后的数据用公钥解密时出现错误?
在前端用JavaScript实现RSA加密,把用户密码加密后传给后端,但后端用私钥解密时一直报错说数据无效,明明密钥对是自己生成的啊 尝试过用crypto-js库做了这些操作: const encry...
-
2
回答
33浏览
设置了Secure标志的Cookie为什么在HTTPS页面读取不到?
我按照文档配置了服务器返回的Cookie携带Secure标志,但发现HTTPS页面始终无法通过document.cookie获取到该Cookie。明明在开发者工具的Network标签里看到响应头确实有...
