安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
48浏览
前端用AES加密后端解不开,密钥和模式都对吗?
我在前端用CryptoJS做AES加密,传给Java后端却一直解密失败。两边都说用的是AES/CBC/PKCS5Padding,密钥也是同一个字符串,但后端报“javax.crypto.BadPadd...
-
1
回答
30浏览
前端用 MD5 加密密码真的安全吗?
我在做一个登录页面,想在前端用 MD5 对用户密码做哈希后再传给后端。但听说 MD5 已经不安全了,可我看很多老项目还在用,有点懵。 我试过用 crypto-js/md5 这个库,代码大概是这样: i...
-
1
回答
34浏览
安全需求阶段前端要做什么具体工作?
我们团队刚开始推行安全开发生命周期(SDL),现在卡在「安全需求」阶段。作为前端,除了常规的功能需求,到底要提哪些和安全相关的需求啊?比如是不是得要求后端接口必须带 CSRF token?还是说要明确...
-
1
回答
22浏览
前端用PBKDF2导出密钥时,salt到底该怎么处理?
我在用 Web Crypto API 做用户密码的密钥派生,用的是 PBKDF2 算法。但文档里说要加 salt,我不确定这个 salt 是不是每次登录都要重新生成?如果存到 localStorage...
-
1
回答
26浏览
前端怎么校验密码复杂度才安全?
我在做用户注册页的密码校验,想确保密码包含大小写字母、数字和特殊字符,但不确定只在前端用正则判断够不够。万一用户绕过前端直接发请求怎么办? 现在用的是 Vue 的 watch 监听密码输入,代码大概这...
-
2
回答
17浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在做登录功能时设置了 Cookie,但对 Domain 属性有点拿不准。比如我的前端是 app.example.com,后端 API 是 api.example.com,想让 Cookie 能在两个...
-
2
回答
35浏览
前端如何根据用户角色动态控制按钮的显示与禁用?
我在做后台管理系统,不同角色(比如管理员、编辑、访客)能看到的操作按钮不一样。现在后端会返回用户的 roles 字段,比如 ['admin'] 或 ['editor'],但我不确定在 React 里怎...
-
1
回答
25浏览
前端如何实现最小权限原则的路由控制?
我在用 React 做后台系统,现在每个菜单项都对应一个路由,但不同角色看到的菜单不一样。我试过在路由配置里加 meta: { roles: ['admin'] },然后在全局守卫里判断,但发现用户还...
-
1
回答
24浏览
connect-src 限制下 fetch 请求被拦截怎么办?
我在项目里加了 CSP 的 connect-src 策略,只允许请求自家的 API 域名,但本地开发时用 fetch 调用 localhost:3001 的 mock 接口就被浏览器拦了。控制台报错:...
-
1
回答
26浏览
前端如何安全地记录用户操作日志?
我们项目需要记录用户的关键操作,比如点击删除、提交表单这些行为,但又不能把敏感信息(比如 token 或用户密码)记进去。我试过用 console.log() 临时打点,但这显然不能用于生产。 现在想...
-
1
回答
31浏览
Access-Control-Allow-Headers 设置后还是报错,到底该怎么配?
我在前端用 fetch 发请求时加了自定义 header,比如 X-Requested-With,但浏览器一直报 CORS 错误,说这个 header 不被允许。我后端是用 Node.js + Exp...
-
1
回答
22浏览
IAST在前端项目中怎么实际集成和使用?
我们团队最近开始引入IAST做安全测试,但我作为前端开发有点懵——IAST不是主要针对后端的吗?我在本地跑 Vue 项目时,尝试按文档把 agent 接入,但根本不知道它能检测我哪些代码。 比如我写了...
-
1
回答
26浏览
富文本编辑器怎么防XSS攻击?
我在项目里用了富文本编辑器,用户可以贴各种HTML内容,但担心被XSS注入。试过用DOMPurify.sanitize()处理,但有些样式会被干掉,客户不接受。 有没有既能保留合理标签(比如<b...
-
1
回答
27浏览
点击劫持防护加了X-Frame-Options为啥还是被嵌套?
我在项目里加了 X-Frame-Options: DENY 响应头,但测试时发现页面还是能被别人用 iframe 嵌套,UI 被覆盖做点击劫持。是我配置错了吗? 后端是用 Express 写的,代码大...
-
1
回答
37浏览
前端设置 Cookie 时如何确保安全策略正确生效?
我在做登录功能时,后端返回了 Set-Cookie 头,但我发现即使加了 SameSite=Strict 和 Secure,本地开发环境(http)下 Cookie 还是没法被设置。是不是因为本地没用...
-
1
回答
21浏览
为什么本地开发时请求后端接口会报CORS错误?
我在本地用 Vite 启动前端项目,调用公司测试环境的 API 接口,浏览器控制台一直报 CORS 错误,说“跨源请求被阻止”。后端同事说他们已经加了 Access-Control-Allow-Ori...
-
1
回答
44浏览
前端如何在Vue中安全使用Nonce随机数防止CSRF攻击?
我在做登录功能时,后端要求每个请求带上一个Nonce随机数来防CSRF,但我试了几次都失败了。每次页面刷新Nonce就变了,但axios拦截器里拿不到最新的值,导致请求被拒绝。 我现在的做法是在组件里...
-
1
回答
39浏览
X-Content-Type-Options 设置了 nosniff 为啥浏览器还是能加载 JS?
我在 Nginx 里加了 X-Content-Type-Options: nosniff,但发现有些 JS 文件 MIME 类型明明是 text/plain,浏览器居然还能执行,不是说 nosniff...
-
1
回答
33浏览
字符串混淆后React组件报错怎么解决?
我在用某个混淆工具把代码里的字符串都转成Unicode了,结果React组件直接白屏,控制台报“Invalid hook call”。是不是混淆破坏了React的内部逻辑? 我试过只混淆业务字符串,保...
-
1
回答
39浏览
Vue中如何安全处理URL参数防止XSS攻击?
我在用Vue做项目时,需要从URL里取参数显示在页面上,但担心XSS风险。比如用户传了个带script标签的参数,直接渲染会不会被攻击? 我试过用encodeURIComponent,但好像只是编码了...
