安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
59浏览
权限缓存过期后如何防止页面刷新导致权限失效?
我现在在做前端权限控制,把用户的权限列表存在localStorage里,但发现缓存过期后页面刷新就会失效。之前试过设置过期时间和自动刷新,但这样页面刷新时还是会有一段时间没有权限校验,这样会不会有安全...
-
2
回答
44浏览
Vue组件中手机号脱敏显示失效了怎么办?
在用户信息展示页面需要脱敏显示手机号,写了计算属性处理,但发现像13812345678这样的号码显示成138****5678是对的,可当输入1391234567这种11位以外的号码时就直接返回原值了,...
-
1
回答
64浏览
代码混淆后如何验证前端代码的完整性?
在用Webpack和terser做代码混淆时,我总担心混淆后的代码被篡改。之前尝试用文件hash比对,但发现每次构建生成的混淆代码hash都不一样,这该怎么验证代码完整性呢? 比如我配置了这样的优化选...
-
2
回答
61浏览
权限更新后页面组件没变化,如何不刷新页面同步权限?
我现在在做用户权限控制功能,当用户在侧边栏点击「更新权限」按钮时,后端返回了新的权限列表。但页面上的按钮权限状态没有立刻更新,必须手动刷新才能生效。我尝试在获取新权限后手动调用this.$forceU...
-
2
回答
46浏览
前端AES加密后数据在传输时还是被拦截了怎么办?
在表单提交时用AES加密了用户密码,但用抓包工具还是能看到明文数据,这正常吗? 我按网上的教程用了crypto-js写了个加密方法: function encrypt(data) { return C...
-
2
回答
97浏览
React发送POST请求时AES加密参数总是报错怎么办?
最近在做一个用户登录页面,需要对接后端提供的AES加密接口。按照文档要求,我得在发送请求前把手机号和密码用AES-128-ECB加密,但测试时后端一直返回"解密失败"的错误... 我的React代码是...
-
2
回答
52浏览
在Sequelize中使用findOrCreate时如何防止SQL注入?
最近在用Sequelize做用户注册功能时,发现直接拼接查询条件可能会有SQL注入风险。比如这样写: User.findOrCreate({ where: { username: req.body.u...
-
2
回答
61浏览
Access Token 存储在 LocalStorage 安全吗?遇到跨域请求被泄露怎么办?
我在做用户登录功能时把 Access Token 放在了 LocalStorage,但测试跨域请求时突然出现错误:“Failed to load resource: Preflight respons...
-
2
回答
46浏览
React中使用dangerouslySetInnerHTML时如何有效防止XSS攻击?
我在做一个可以渲染富文本内容的功能,直接用dangerouslySetInnerHTML渲染用户提交的HTML字符串时,发现能被注入恶意脚本。虽然用了htmlspecialchars转义,但页面样式完...
-
2
回答
45浏览
Vue项目关闭sourceMap后生产包里还是有 sourceMappingURL注释怎么办?
最近在做Vue项目代码混淆时遇到个奇怪的问题,虽然在vue.config.js里设置了productionSourceMap: false,但打包后的.js文件末尾还是有这个注释://# source...
-
2
回答
45浏览
CSP设置后图片资源被阻止,如何排查?
最近给项目加CSP头时发现图片加载失败,控制台提示"Blocked ... source of 'http://...' isn't listed"。我试过在标签用nonce和在CSP头添加,但问题依...
-
2
回答
34浏览
为什么我的CSP策略阻止了eval函数,但移除unsafe-eval又报错?
我在开发动态表单组件时用到了eval执行表达式,CSP报错提示缺少unsafe-eval。尝试在header里加了script-src 'self' 'unsafe-eval',但控制台还是显示: C...
-
2
回答
36浏览
OWASP依赖检查显示高危漏洞,但依赖项已是最新版本怎么办?
我在项目里用OWASP Dependency-Check扫描时,发现axios@1.6.2有CVE-2023-2793高危漏洞,但运行npm update后版本没变。检查了package.json里明...
-
2
回答
60浏览
React中如何用base64解码混淆的字符串,但遇到控制台报错?
我在React组件里尝试用atob解码混淆后的base64字符串,但控制台一直报"Invalid character in input string"错误。明明在后端返回的字符串看起来没问题啊。 比如...
-
2
回答
26浏览
Nikto扫描时为什么忽略我指定的8080端口?
我用Nikto扫描本地Apache服务器时,明明加了-port 80,8080参数,但结果只显示扫描了80端口。手动curl 8080能访问,防火墙也没问题,这是什么原因? 命令是这样写的: nikt...
-
2
回答
49浏览
如何在发送表单时对敏感数据进行加密?
我现在在做一个登录表单,需要把用户名和密码发到后端。但直接用POST提交不安全,想在前端加密后再发送。尝试过用Base64编码,但同事说这根本不算加密。想问下实际开发中该怎么处理? 比如这个表单: &...
-
2
回答
87浏览
CORS域名验证时,为什么多个子域名配置会覆盖之前的规则?
我在配置CORS时遇到奇怪的问题,后端设置了允许两个子域名api.example.com和test.example.com,但实际请求时只有最后一个配置生效。比如先写: header("Access-...
-
2
回答
50浏览
设置X-Frame-Options后页面无法被iframe嵌入,可能是什么原因?
我在测试环境设置了X-Frame-Options头为SAMEORIGIN,但另一个域名的页面通过iframe嵌入我的页面时,浏览器还是报错阻止了显示。明明配置文件里写的是: header("X-Fra...
-
2
回答
60浏览
React动态权限控制失效,组件没按角色切换显示
我在做用户角色切换时动态控制按钮权限,根据用户权限数组渲染组件。但切换角色后按钮没变化,哪里出问题了? 比如当前用useState存用户权限,用includes判断是否显示: function Adm...
-
2
回答
45浏览
控制流扁平化后代码逻辑失效,如何排查?
我用javascript写了个按钮点击计数器,用控制流扁平化工具混淆后,点击事件突然不响应了。原生代码没问题,但混淆后的逻辑看起来像被插入了很多空函数和条件分支,控制台没报错就是不执行计数: <...
