安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
51浏览
为什么OWASP ZAP无法拦截Angular应用的某些AJAX请求?
我在用OWASP ZAP测试Angular项目时发现,虽然设置了代理8080,大部分请求都能拦截,但文件上传和实时搜索的两个AJAX请求完全没反应。用F12看网络面板明明有这些请求,ZAP里却显示空白...
-
2
回答
61浏览
Session绑定后怎么还是被CSRF攻击了?我的实现有问题吗?
我在做用户登录时把sessionID存到cookie里,并在服务端把session和用户ID做了绑定。但测试时发现,攻击页面通过已登录的浏览器发起请求,服务端居然能拿到正确的用户信息。我试过设置coo...
-
2
回答
96浏览
Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with s...
-
2
回答
56浏览
怎么防止网站用户的Session被中间人攻击劫持?
最近在开发一个电商网站,用户登录后发现偶尔会出现异地登录提示。我检查了服务器日志,发现有几个不同IP访问了同一个Session ID。已经设置了Secure; HttpOnly属性,但问题还是存在,这...
-
2
回答
56浏览
用户输入渲染到HTML时如何防止XSS攻击?我的表单代码可能有漏洞
我在做一个表单,用户输入的内容会直接显示在页面上,但测试时发现可以注入脚本。比如用户输入alert(1)就会执行。现在用handleInput处理输入,但不知道该怎么安全转义: <div>...
-
2
回答
71浏览
OWASP ZAP扫描后怎么处理’信息泄露’的低风险漏洞?
用OWASP ZAP扫描公司登录页面时,总提示'信息泄露'低风险漏洞,但实际访问页面没问题 具体是说响应头里有Server字段暴露了nginx版本号,我按照教程在服务器加了header("Server...
-
1
回答
94浏览
表单提交带了CSRF Token后后端还是报无效?
我在登录表单里加了隐藏字段的CSRF Token,用JavaScript从API接口获取的,但每次提交后端还是返回“Token无效”。明明前端能正常拿到Token值,表单也正确显示在hidden in...
-
2
回答
83浏览
Burp Suite配置HTTPS抓包一直拦截不到请求怎么办?
在用Burp测试网站时,配置了代理和安装CA证书后,HTTP请求能正常拦截,但HTTPS请求就是进不去拦截器,浏览器还提示证书不受信任。我试过清浏览器缓存、重装证书、换8080/8090端口都不行,B...
-
2
回答
113浏览
为什么用JSencrypt加密后的密文到服务端就解密失败?
我在前端用JSencrypt对用户密码加密,但后端PHP一直解密失败。密钥对是正确的,也试过RSAES-OAEP算法,但结果还是错。发现加密后的密文在页面上显示不全,可能和这个CSS有关? input...
-
2
回答
58浏览
如何防止我的页面被其他网站通过iframe嵌套导致点击劫持?
我在做一个登录页面时,用X-Frame-Options: DENY和JavaScript防嵌套代码:if (self !== top) { top.location = self.location; ...
-
2
回答
59浏览
Nessus扫描前端API接口总报高危漏洞,但实际没问题怎么办?
我在用Nessus扫描公司新开发的前端项目API接口时,发现/user/profile接口一直被标记为"反射型XSS漏洞"高危,但手动测试完全没问题。 已经尝试过: 1. 在扫描配置里排除了/user...
-
2
回答
113浏览
ABAC权限控制中如何动态处理资源属性条件?
在用ABAC实现动态权限时,遇到资源属性变化导致判断失效的问题。比如在Vue组件里根据用户角色和资源的"department"属性控制按钮显示: <button v-if="canEd...
-
2
回答
57浏览
React中使用Argon2密码哈希时,为何生成的哈希值每次都不一致?
我在React项目里用argon2-browser库做密码哈希,按照文档写了注册和登录逻辑。但发现同一个密码多次哈希后得到的字符串每次都不同,导致登录验证总是失败。 比如用户注册时用argon2.ha...
-
2
回答
50浏览
React组件如何检测自身是否被嵌入iframe防止点击劫持?
我在开发一个React仪表盘组件时遇到点击劫持问题,第三方页面用iframe嵌入我的组件后完全覆盖透明层实施攻击。我尝试在组件中添加: componentDidMount() { if (window...
-
2
回答
86浏览
CSP报显示图片源被阻止但已配置’srcset’还是不行怎么办?
我在开发环境设置了CSP头,但控制台一直报标签的图片被阻止,明明已经在'srcset'里写了self和具体域名,怎么还是不行? 配置是这样的:Content-Security-Policy: img-...
-
2
回答
120浏览
前端用Diffie-Hellman交换密钥时为什么算不出相同共享密钥?
我在前端实现加密通信时想用Diffie-Hellman算法交换密钥,但双方算出来的共享密钥总不一样,明明参数都共享了,这是哪里出问题了? 我按文档写了个生成密钥对的函数,但测试时发现双方计算的共享密钥...
-
2
回答
91浏览
Web Crypto API AES加密后解密失败,密文看起来不对劲?
我用Web Crypto API写了个AES加密函数,但解密时总返回错误。明明密钥和参数都一致,加密后的密文看起来全是乱码,是不是哪里没处理对? 代码是这样写的: async function enc...
-
2
回答
94浏览
React表单提交时如何防止XSS攻击?IDS/IPS配置有什么建议?
我在做一个用户反馈表单时发现,如果用户输入带标签的内容,提交后服务器IDS直接拦截请求了。但前端已经用了DOMPurify处理输入内容,为什么还是被拦截? 这是我的表单组件代码: import { u...
-
2
回答
59浏览
用CSS隐藏非管理员内容被用户绕过,该怎么安全控制数据权限?
我现在在做角色权限控制,普通用户只能看自己的数据,管理员能看所有。前端用了CSS根据角色动态添加class来隐藏非管理员的按钮,比如: .user-only { display: none; } .a...
-
2
回答
61浏览
Nikto扫描后显示“403 Forbidden”错误,怎么解决?
用Nikto扫描本地测试服务器时,为什么总提示403 Forbidden? 我刚用XAMPP搭了个本地测试环境,想用Nikto检测漏洞。运行命令nikto -h http://localhost:80...
