安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
130浏览
X-Content-Type-Options设置后为什么响应头里看不到这个字段?
我在nginx里加了X-Content-Type-Options: nosniff,但用开发者工具看响应头时根本找不到这个字段,明明其他自定义头都显示了,是不是配置位置有问题? 尝试过把代码写在ser...
-
2
回答
70浏览
怎么在防止SQL注入的同时隐藏具体错误信息?
我在做用户登录功能时发现一个问题,用JavaScript拼接SQL语句时虽然用了参数化查询,但后端返回的错误信息里会暴露数据库表结构: const query = <code>SELECT...
-
2
回答
132浏览
设置了CSP后图片无法加载,却显示’strict-dynamic’相关错误?
我在给项目配置CSP时遇到了奇怪的问题。设置了后页面报错: <!DOCTYPE html> <html> <head> <meta http-equiv="C...
-
2
回答
114浏览
HMAC签名在前端加密时,为什么服务端验证总是失败?
我在给登录接口加HMAC签名验证时遇到了问题。按照文档用CryptoJS生成签名,把时间戳和参数按字母排序后拼接,但服务端一直返回"签名无效"。试过确认密钥和算法都正确,连请求头的Content-Ty...
-
2
回答
199浏览
Vue组件里用Web Crypto加密后的数据在服务端无法解密怎么办?
我在做一个聊天功能时用Vue实现端到端加密,按照文档用Web Crypto的subtle加密了消息内容,但服务端返回"无法解密"的错误。试过把加密结果转成Base64,但后端说数据格式不对。 这是我的...
-
2
回答
46浏览
用户输入的javascript:伪协议怎么防不住XSS?
在React项目里处理用户提交的留言内容时,发现如果用户输入类似javascript:alert(1)这样的内容,直接渲染后居然真的会执行脚本。虽然用了DOMPurify清理和转义特殊字符,但测试输入...
-
2
回答
50浏览
前端用Argon2哈希密码后,跨域请求被拦截怎么办?
我在前端用JavaScript调用Argon2对用户密码进行哈希处理,然后通过fetch发送到后端,但一直报错“Blocked by CORS policy: No 'Access-Control-A...
-
2
回答
55浏览
设置了font-src为什么字体还是被阻止加载?
我在项目里用Google字体时遇到了CSP报错,明明在HTTP头里写了font-src fonts.gstatic.com,但控制台还是提示“Blocked loading font”... 这是我的...
-
2
回答
97浏览
Vue的Self检测在iframe里总是返回false怎么办?
在Vue组件里嵌入第三方iframe时,按照文档写了Self检测逻辑,但点击完全没反应,Self检测好像没生效,哪里出问题了? 我的组件结构是这样的,用iframe引用了支付页面: <templ...
-
2
回答
82浏览
设置Cross-Origin-Resource-Policy后图片还是被阻止了怎么办?
我给服务器配置了cross-origin-resource-policy: same-site,但跨域加载图片时还是出现这个错误:Blocked by Cross-Origin Resource Po...
-
2
回答
64浏览
为什么用innerHTML渲染用户输入时会引发XSS漏洞?
最近在做论坛项目时,用innerHTML动态显示用户提交的评论内容,结果被测试工具提示存在XSS漏洞。我尝试过滤了输入里的尖括号和script关键字,但漏洞检测还是报错,这是为什么呢? 代码是这样的:...
-
2
回答
61浏览
用户组权限样式的CSS优先级问题怎么解决?
大家好,我在做用户组权限样式区分时遇到个问题。现在有管理员、普通用户、访客三个用户组,需要给按钮显示不同样式: .user-btn { background: #ccc; } .admin .user...
-
1
回答
66浏览
yarn.lock损坏后重建导致依赖版本变动怎么办?
在部署项目时发现yarn.lock文件损坏了,我删掉后重新运行yarn install,但新生成的yarn.lock里好多依赖版本都变了,这会不会引入安全漏洞? 之前用npm audit发现有个高危漏...
-
2
回答
77浏览
React表格组件如何根据角色动态隐藏特定列?
我现在在做用户管理页面,不同角色需要看到的表格列不一样。比如普通用户只能看姓名和邮箱,管理员还能看到创建时间和角色列。尝试用条件渲染写成这样: function UserTable({ users, ...
-
2
回答
88浏览
前端代码里直接写API Secret会不会被轻易盗取?
在开发天气查询功能时,我需要调用第三方API。按照文档要求,得把API Secret直接写在JS代码里,像这样:const secret = 'xxx'。 但上线后用浏览器开发者工具一看,secret...
-
2
回答
57浏览
导出用户数据时如何有效脱敏手机号和邮箱?
最近在做用户数据导出功能,需要脱敏手机号和邮箱,但实现后发现有些数据没处理好。 我写了这样的脱敏函数: function anonymizeData(data) { return data.map(u...
-
2
回答
75浏览
为什么设置了CORS头后图片还是被COP策略拦截?
我在开发时遇到了奇怪的问题,服务器设置了Access-Control-Allow-Origin: *,但页面加载外部图片时还是报错:"图片被Cross-Origin Resource Policy阻止...
-
2
回答
231浏览
React登录限制如何防止频繁尝试导致接口被攻击?
我给登录表单加了防抖和错误次数限制,但测试时发现攻击者还是能不断重试,这是为什么? 现在用useState记录错误次数,超过3次就禁用按钮,还用了防抖处理: const Login = () =>...
-
2
回答
66浏览
为什么RSA加密后的数据在服务端解密总是报错?
我用前端的jsencrypt库做了RSA加密,后端用node.js的crypto模块解密,但一直报错说“error:040...数据无效”。加密用的是公钥文件里的-----BEGIN PUBLIC K...
-
2
回答
47浏览
React表单提交时用AES加密数据,后端返回解密失败怎么办?
我在React表单提交时用crypto-js的AES加密表单数据,但后端始终报解密失败。明明前后端都用了相同的密钥和模式,到底是哪里出问题了? 代码是这样写的,表单提交时把JSON字符串加密后发送: ...
