安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
46浏览
Vue项目中根据角色动态加载路由权限时为什么某些菜单还是能访问?
我在做权限控制时,根据后端返回的角色动态过滤路由,但测试发现没有对应权限的角色依然能通过URL直接访问页面。比如普通用户本该看不到的「系统管理」菜单,输入路径后居然能跳转。 尝试过在路由配置里给每个路...
-
2
回答
83浏览
如何防止生产环境JS代码被篡改导致中间人攻击?
最近在做项目安全加固时发现,线上环境的JavaScript文件可能被中间人篡改。我们用Webpack打包部署到Nginx服务器,但测试时发现有人能修改返回的JS代码添加恶意脚本。之前尝试过设置CSP头...
-
2
回答
82浏览
Forge.js导出RSA私钥pem格式总是无效怎么办?
我在用Forge.js生成RSA密钥对时,按照文档导出的pem格式总是被其他工具报错。明明参数都对,但生成的私钥文件好像格式不对。 我这样写的代码: const forge = require('no...
-
2
回答
62浏览
SameSite=None; Secure设置了,但跨域请求还是丢失Cookie怎么办?
我在开发一个单页应用时,给Cookie设置了SameSite=None; Secure,但跨域请求到后端API时Cookie还是没带上,这是为什么啊? 场景是这样的:前端用Vue跑在https://s...
-
2
回答
53浏览
前端如何有效过滤输入框中的特殊字符防止XSS攻击?
我在做登录表单时发现,用户可以通过输入框发送类似;alert(1)的恶意代码。尝试用正则表达式过滤,但发现当用户快速输入时,分号还是能通过。还试过在CSS里加了这段样式: input { /* 尝试用...
-
2
回答
188浏览
前端如何防止频繁登录尝试导致的密码暴力破解?
我现在在做登录功能的安全防护,想限制用户频繁提交密码。之前尝试用前端倒计时禁用提交按钮:setDisabled(true),但用户直接刷新页面就能继续尝试,这样根本没效果。 后端同事说他们已经做了失败...
-
2
回答
78浏览
控制流扁平化后断点怎么都失效了?
我在给前端代码做混淆时用了控制流扁平化,结果调试时发现所有断点都失效了。比如原本在handleClick函数里的断点直接跳过了,代码逻辑被拆成一堆没命名的函数调用。 试过调整工具配置把关键函数排除,但...
-
2
回答
45浏览
Vue表单提交时如何同时实现CSRF防护和验证码验证?
在开发登录表单时,我需要同时处理CSRF防护和验证码验证。现在遇到的问题是:当用户刷新验证码时,CSRF令牌没有同步更新,导致表单提交时后端返回验证失败。我尝试在获取验证码接口里携带CSRF令牌,但发...
-
1
回答
68浏览
Vue组件日志记录时怎么避免敏感信息泄露?
我在做登录功能的安全审计时发现,组件里用console.log直接输出了用户提交的表单数据,这样密码会被记录在日志里。尝试过手动删密码字段,但感觉不够优雅。有没有更好的过滤方法?比如在下面这个表单提交...
-
2
回答
57浏览
设置了X-XSS-Protection头后页面样式全乱了怎么办?
我在HTML里加了,但页面布局突然错乱了,特别是用了Tailwind的组件。查文档说这个头是防御XSS的,但按示例配置后连开发工具都看不出样式错哪儿了。 <!DOCTYPE html> &...
-
2
回答
62浏览
为什么我的Strict-Transport-Security头没有生效?
我在Nginx配置里加了Strict-Transport-Security: max-age=31536000;,但用在线工具检查发现这个头信息没出现。重启服务后还是没效果,配置文件放在server块...
-
2
回答
85浏览
URL参数过滤时如何防止XSS攻击绕过?
我在做用户分享链接功能时发现,用户输入的URL参数如果包含alert(1)会被正确拦截,但换成大写或者加注释就能绕过了,该怎么改进过滤逻辑呢? 尝试过用正则/<script>/i匹配标签,...
-
2
回答
90浏览
错误处理时如何避免泄露SQL注入漏洞细节?
我在做登录接口时发现,当用户输入特殊符号触发SQL注入防护,后端返回的错误信息里包含了表名和列名。比如输入username=' OR 1=1时,错误提示显示Unknown column 'userna...
-
2
回答
91浏览
设置了X-Content-Type-Options头为什么还是有类型嗅探提示?
我在Express服务器里设置了X-Content-Type-Options: nosniff,但访问静态文件时Chrome还是显示「启用内嵌 MIME 类型嗅探」的警告。用开发者工具检查响应头确实有...
-
2
回答
54浏览
CSP中的strict-dynamic有什么用?为什么我的动态脚本还是被阻止了?
我在给项目配置CSP时用了'strict-dynamic',但页面加载时动态创建的script标签还是报blocked错误。比如这样: const script = document.createEl...
-
2
回答
50浏览
Persistent Cookie设置Secure后为何还能被XSS窃取?
我在前端设置了持久化Cookie时添加了Secure; HttpOnly属性,但PenTest工具显示XSS脚本仍能读取到cookie值。测试时发现当页面存在注入点时,攻击者通过document.co...
-
2
回答
67浏览
如何在威胁建模中识别前端API的注入攻击风险?
最近在做威胁建模时发现前端调用的API可能存在注入攻击风险,但不确定该怎么具体分析。比如用第三方富文本库上传图片时,后台返回的Markdown内容直接渲染到页面,虽然加了输入过滤,但测试时发现特殊字符...
-
1
回答
49浏览
W3af扫描时自定义请求头没生效,如何排查?
最近在用W3af测试公司API,需要给所有请求加User-Agent和X-Token头。按照文档在setup.conf里设置了headers参数: headers = {"User-Agent": "...
-
2
回答
48浏览
为什么我的网站启用了CT后,浏览器还是不显示证书透明度标记?
我最近在配置网站的安全头,启用了Certificate Transparency,但发现浏览器没有显示相关标记。我检查了SSL证书,确认CT日志已经添加,但可能哪里漏了?我尝试在Nginx配置里添加了...
-
2
回答
69浏览
JWT刷新令牌应该如何设计才能避免多次请求时的重复验证?
我在做文件上传功能时发现,当用户同时上传多个文件时,每个文件请求都会带着JWT访问接口,但遇到令牌过期的情况,所有请求都会触发刷新逻辑。比如这样: axios.interceptors.respons...
