安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
43浏览
npm项目中如何快速修复依赖项的SCA高危漏洞?
我在做项目安全扫描时发现,用npm管理的依赖项中有三个高危漏洞,但直接运行npm update没效果。尝试过根据npm audit的建议手动升级具体包版本,但其中一个依赖被多个子模块同时引用,改到第三...
-
2
回答
43浏览
Nessus扫描显示React组件存在XSS漏洞,但代码已经过滤输入了怎么办?
大家好,我在用Nessus扫描公司前端项目时,发现一个React组件被标记为XSS漏洞。但代码明明已经用了DOMPurify过滤输入,这是怎么回事? 我的代码是这样的: import DOMPurif...
-
1
回答
25浏览
前端用了盐值哈希为什么还是怕彩虹表攻击?我的做法哪里错了?
我在用户注册页面给密码加了随机盐值再用bcrypt加密,但看到资料说彩虹表能破解加盐的哈希?比如这样写: /* 这是我的前端加密尝试 */ .password-hash { content: attr...
-
2
回答
61浏览
如何防止嵌套页面被点击劫持?X-Frame-Options和CSP设置无效?
最近在开发仪表盘页面时,发现嵌套的表单页面被恶意网站用iframe嵌入,导致用户误操作点击劫持。我尝试在服务器配置中设置了X-Frame-Options: SAMEORIGIN,并在CSP头里写了: ...
-
2
回答
45浏览
React应用中用户操作日志缺少会话关联怎么办?
在做审计追踪时发现,用Redux记录的用户操作日志里经常找不到对应用户ID。比如用户登录后触发的fetchData操作,日志里action的user字段会是null 尝试过在store里存用户信息,然...
-
2
回答
65浏览
为什么Vue请求带自定义头防CSRF时头信息被浏览器自动过滤了?
我在Vue项目里用axios发送POST请求时,按教程设置了X-Requested-With和自定义头,但后端收到的请求头里这两个字段完全消失了,这是什么情况? 代码是这样的: methods: { ...
-
2
回答
582浏览
CORS设置中用*通配符有什么安全风险?为什么改用具体域名反而报错?
我在后端设置了CORS的Access-Control-Allow-Origin为"*",结果被安全审计指出存在漏洞。改成允许特定域名后,浏览器却报"Response to preflight requ...
-
2
回答
31浏览
Metasploit执行msfconsole时提示未找到Ruby,但Ruby已安装怎么办?
刚安装完Metasploit框架,运行msfconsole时提示Ruby不是内部或外部命令,但之前用ruby -v明明显示版本是3.0.2了。已经把Ruby路径加到环境变量里了,重启终端也没用。 尝试...
-
2
回答
56浏览
为什么设置了Access-Control-Allow-Origin但OPTIONS请求还是报错?
我在开发一个表单提交功能时,用fetch发送POST请求到后端API,浏览器突然报CORS错误说"Method POST is not allowed by Access-Control-Allow-...
-
2
回答
46浏览
Vue3动态路由权限控制时,为什么动态添加的路由无法访问?
我在Vue3项目中用路由守卫做权限控制,根据用户角色动态加载路由。但访问新添加的/admin路径时一直报404,代码检查了好几遍没发现问题。 尝试在main.js里这样写: router.before...
-
2
回答
79浏览
React单点登录跳转时跨域问题怎么解决?
我在做SSO单点登录时遇到个奇怪的问题,登录回调页面跳转总报跨域错误。用Auth0的方案,配置了回调地址和redirect_uri,但每次登录成功跳回来的时候控制台都提示: Refused to di...
-
2
回答
114浏览
Forge.js RSA-OAEP加密后服务端解密失败,参数或格式哪里出问题?
我在用Forge.js做RSA-OAEP加密表单数据时,服务端一直报解密失败。前端用的是公钥字符串直接加密,加密后的base64字符串传到后端Java就解不开,明明密钥是服务端提供的。我试过把公钥格式...
-
2
回答
92浏览
XSStrike扫描时参数注入失败,该怎么排查?
用XSStrike测试登录接口时,参数注入总是显示"未触发"。我按文档配置了--forms参数,但扫描完后报告里全是绿色勾勾,实际用Burp发包却能抓到XSS漏洞。 尝试过手动指定payload文件:...
-
2
回答
55浏览
CAS单点登录成功后跳转页面显示404,参数错误怎么办?
在用Vue项目对接CAS单点登录时,登录成功后页面一直跳转到404。发现CAS返回的URL参数是ticket=ST-123456,但我的前端接收地址是/callback?ticket=ST-12345...
-
2
回答
57浏览
Vue项目CSRF防护时验证请求头总失败怎么办?
我在Vue项目里用axios发请求时设置了X-CSRF-Token头,但后端一直返回403错误。之前在登录接口成功获取到token并存到cookie里了,代码是这样的: <script> ...
-
2
回答
77浏览
CSRF防护中,为什么我的前端生成的Token无法被后端正确验证?
我按照教程给表单请求加了CSRF防护,前端用UUID生成token存到cookie和隐藏字段里,但后端验证时总提示不匹配。明明都按文档做了,但验证还是失败,哪里出问题了? 前端代码这样写的: // 生...
-
2
回答
161浏览
SAST扫描提示CSS中的URL()函数存在安全风险怎么办?
在项目中给背景图用了CDN链接写法,结果SAST扫描报高危漏洞,说url()函数可能引发XXE或路径遍历,但实际代码明明是静态引用啊... 代码是这样的:.background { backgroun...
-
2
回答
72浏览
如何在用户点击同意按钮后自动勾选复选框并持久化存储状态?
我在做隐私政策页面时遇到问题,用户需要先勾选同意复选框才能继续注册。但实际测试发现,当用户点击"我同意"按钮后,虽然能跳转到注册页,但复选框状态没有被记录下来,刷新页面又变回未选中状态。 我尝试用Lo...
-
2
回答
62浏览
灰盒测试时怎么发现后端API的输入验证漏洞?
最近在测试公司内部系统的灰盒安全,遇到个问题:我拿到后端API的接口文档,但不确定参数验证是否完善。比如有个用户注册接口,文档说username是必填项,但当我用Postman把username改成特...
-
2
回答
128浏览
CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。 尝试过在每次请求前手动调用API刷新Token,但...
