安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
95浏览
W3af扫描时插件加载失败怎么办?
用w3af_console扫描目标时老是报错"Plugin not found",折腾了半天没解决。按照官方文档装了所有依赖,运行w3af_console后选择插件扫描就直接报错了。 错误提示是:Tr...
-
2
回答
256浏览
参数化查询没防住SQL注入?我的代码哪里写错了?
最近在学参数化查询防注入,但测试时发现还是能被绕过。比如在Node.js用mysql模块写这个登录验证: const query = 'SELECT * FROM users WHERE u...
-
2
回答
82浏览
Vue组件用了v-html被SAST标记XSS漏洞,但数据已经转义了该怎么办?
我在开发用户评论展示功能时,用Vue的v-html渲染经过sanitize-html过滤的内容,但SonarQube扫描还是报XSS风险。代码如下: import sanitizeHtml from ...
-
2
回答
45浏览
React里用了report-to但CSP报告没收到怎么办?
在React项目里配置了CSP的report-to指令,但一直没收到违规报告,是不是哪里写错了? 我按照文档设置了meta标签,还用.env文件存了端点: // index.js document.a...
-
2
回答
102浏览
前端用RSA加密时,私钥怎么安全传给后端不被窃取?
我在用RSA加密用户密码时遇到个难题,前端生成密钥对后,必须把私钥发给后端解密,但这样私钥不就暴露在请求里了吗?比如这段代码: const forge = require('node-forge');...
-
2
回答
71浏览
Dependabot配置后依赖没更新,Vue项目该怎么排查?
最近给Vue项目配置了Dependabot,但过去一周了都没有看到依赖更新的PR,控制台提示configuration validation failed。我检查了.github/dependabot...
-
1
回答
80浏览
如何检测前端应用中的异常XSS攻击请求?
我在开发一个用户评论系统时,用了DOMPurify过滤输入,但最近发现有用户通过javascript:alert(1)形式的链接绕过防护。尝试用黑名单过滤关键词后,攻击者改用十六进制编码的payloa...
-
1
回答
99浏览
为什么设置了Secure标志后Vue的CSRF防护还是失效?
在Vue项目里用了axios的withCredentials,按教程设置了cookie的Secure标志,但发现跨域请求还是能被拦截。明明后端返回的Set-Cookie头里有Secure参数啊,这是哪...
-
2
回答
111浏览
前端用MD5加密密码是否安全?有没有更好的加密方式?
最近在做用户注册功能时,密码加密这块有点困惑。我之前用crypto-js把密码转成MD5再存到后端,但同事说MD5早就被破解了,这样存密码不安全,但我也不太明白具体哪里有问题。 尝试改用bcrypt时...
-
2
回答
79浏览
设置了connect-src后为什么我的API请求仍然被CSP拦截?
我在页面里通过AJAX请求https://api.example.com/data时,控制台报错: "Refused to connect to 'https://api.example.com/da...
-
2
回答
67浏览
如何在前端实现用户不能重复使用最近3次密码的验证?
在做用户密码修改功能时,需要限制用户不能重复使用最近3次的密码。我用Vue写了表单验证,但不知道该怎么存储和比对历史密码: <template> <form @submit.prev...
-
2
回答
64浏览
Public-Key-Pins配置后浏览器报错,哪里出问题了?
我在本地测试环境配置了Public-Key-Pins头,但访问页面时Chrome直接显示证书错误,页面完全无法加载。之前已经按文档生成了证书的指纹,备用密钥也配置了,但还是报错: Public-Key...
-
1
回答
38浏览
React中如何验证Cookie数据未被篡改?
我在React项目里用js-cookie设置cookie,但不确定怎么防止别人篡改内容?比如这个登录token: import Cookies from 'js-cookie'; ...
-
2
回答
45浏览
单页应用中CSRF Token自动刷新导致表单提交失败怎么办?
我在开发Vue应用时遇到了CSRF防护问题,前端用了axios拦截器在每次请求带上CSRF token,但后端要求token每小时必须刷新。我尝试在axios的响应拦截器里检测403错误后自动调用刷新...
-
2
回答
751浏览
为什么CORS预检请求返回403时,我的自定义头被服务器拒绝了?
最近在做跨域文件上传时遇到个问题:前端用fetch发送POST请求带了multipart/form-data格式和自定义头X-File-Hash,但预检OPTIONS请求一直返回403。服务器日志显示...
-
2
回答
74浏览
为什么我的Vue项目跨域请求总是被阻止?
我在Vue项目里用axios请求后端接口时,浏览器一直报CORS错误。明明后端同事说已经配置了headers,但页面还是显示“No 'Access-control-allow-origin'头”。 我...
-
2
回答
41浏览
OAuth2.0静默刷新时怎么避免重复发送refresh_token请求?
我在做前端静默刷新访问令牌时遇到个问题,当用户快速切换页面时,多个定时器同时触发导致重复发送了refresh_token请求。比如这样写的: let refreshTimeout; function ...
-
2
回答
61浏览
React表单提交时如何安全处理包含PII的用户数据?
在开发用户注册表单时,需要收集姓名和电话号码这些PII信息。我用useState保存输入值,提交时通过fetch发送到后端,但担心前端存储和传输过程中的数据泄露风险。虽然用了HTTPS,但直接存储在s...
-
2
回答
49浏览
配置Public-Key-Pins头后浏览器还是报证书错误怎么办?
我给网站配置了Public-Key-Pins头,参考了文档写死了当前证书和备用密钥的pin值,但访问时Chrome还是提示“证书无效”。明明证书指纹和includeSubDomains参数都对,是不是...
-
2
回答
71浏览
代码混淆后函数名变成乱码,但运行时报错找不到原始函数名怎么办?
我在用JavaScript的代码混淆工具处理一段代码时遇到问题。混淆后的函数名都变成了标签?
