安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
59浏览
动态添加的script标签nonce无效怎么办?
在单页应用里用createElement动态插入script标签,设置了nonce属性,但是控制台还是报"Refused to execute inline event handler because...
-
2
回答
77浏览
如何防止嵌套iframe导致的UI覆盖点击劫持?
最近在做内嵌第三方支付页面的开发时,发现页面被恶意站点通过透明iframe覆盖,导致用户误触按钮。虽然设置了X-Frame-Options: sameorigin和CSP的frame-ancestor...
-
2
回答
90浏览
加密后的Cookie在前端怎么安全处理?
我在项目里给敏感数据用了AES加密存到Cookie,但前端JS需要解密后做验证。现在纠结的是,如果直接把密钥写在代码里,感觉太不安全了,试过用环境变量替换密钥,但发现只要反编译JS还是能找到,有没有更...
-
2
回答
96浏览
Vue中使用crypto-js的SHA256加密后,前后端哈希值不一致怎么办?
我在登录组件里用crypto-js给密码做SHA256摘要,但后端说计算结果和他们预期的不一样。明明双方都用的SHA256算法啊,哪里出问题了? 这是我写的Vue代码片段: 登录 import Cry...
-
2
回答
39浏览
Forge.js RSA解密后得到空字符串怎么办?
我在用Forge.js给密码字段加密后发送到后台,但服务端说解密结果是空的。前端加密代码是这样的: const encrypt = (data) => { const publicKey = f...
-
2
回答
55浏览
为什么设置script-src后页面脚本无法运行?
我在页面里写了个简单的按钮点击弹窗功能,配置CSP后突然失效了。设置了script-src只允许'self'和一个nonce,但控制台报错说阻止了内联脚本执行。代码明明加了nonce属性啊,哪里出问题...
-
2
回答
88浏览
为什么设置了Permissions-Policy头后,我的Web Worker突然报错?
我在项目里加了Permissions-Policy头想限制一些API权限,结果发现之前正常工作的Web Worker突然报错"NotAllowedError: The operation is not...
-
2
回答
63浏览
React项目HTTPS部署后,为什么AJAX请求到http://api端点被阻止?
我在React项目里用fetch调用公司旧系统的API接口,开发环境用HTTPS没问题,但部署到HTTPS服务器后突然报错:"Mixed Content: The page was loaded ov...
-
2
回答
182浏览
Vue里用innerHTML显示用户评论内容,怎么防止XSS攻击啊?
我在做一个论坛帖子的评论展示功能,用v-html渲染用户提交的内容,但测试时发现能直接执行脚本标签。比如用户输入alert(1),页面真的会弹窗。试过用转义函数替换尖括号,但图片和链接标签也失效了,怎...
-
2
回答
70浏览
为什么设置了Access-Control-Allow-Methods后OPTIONS请求还是被拦截?
我在前端用fetch发POST请求时,明明在服务器设置了"Access-Control-Allow-Methods: POST",但浏览器还是报错说方法不允许。预检OPTIONS请求返回405状态码,...
-
2
回答
63浏览
Vue表单过滤单引号后为何仍出现SQL注入漏洞?
我在做一个用户反馈表单时,发现后端报SQL注入错误。虽然给输入框加了单引号过滤,但用户输入像“O'Reilly”这样的名字时,后端依然报错。代码是这样的: 提交 export default { da...
-
2
回答
228浏览
混合加密中为什么RSA加密后的数据用AES解密会失败?
我在做混合加密时遇到问题:前端用RSA公钥加密了AES的对称密钥,但后端用RSA私钥解密后得到的数据,用AES解密明文总是失败。 尝试过检查密钥长度和算法配置,但没发现问题。比如下面这段加密代码,是不...
-
2
回答
91浏览
为什么我的Anti-CSRF Token在跨域请求时失效了?
我在单页应用里用JWT做Anti-CSRF防护,每次登录后把token存在cookie并带上自定义请求头。但调用支付接口时后端返回403,明明请求头里带了正确的token值。 尝试过在Express后...
-
2
回答
45浏览
React里把API Key写在组件里提交请求,这样会不会泄露?
我在写一个天气查询组件时,直接把OpenWeatherMap的API Key写在React组件的请求里了。但同事说这样部署后会被别人直接看到,应该怎么办?我试过用.env文件存变量,但开发环境老报40...
-
2
回答
309浏览
React中使用AES加密数据后后端无法解密怎么办?
我在React项目里用crypto-js做了AES加密,但后端说收到的密文解密失败。我按照文档设置了CBC模式和pkcs5填充,测试时发现加密后的base64字符串总比预期的多两个等号,这正常吗? i...
-
2
回答
157浏览
前端用WebSocket加密时,怎么安全交换密钥避免被中间人截获?
我在用WebSocket做实时通信时,想给消息加密,但卡在密钥交换环节。试过让客户端生成RSA密钥对,把公钥发给服务器,但发现握手时公钥是明文传输的,如果中间人截获公钥再伪造响应,不是照样能解密吗? ...
-
2
回答
62浏览
JSONP跨域调用时如何防范第三方注入恶意脚本导致XSS?
我在用JSONP做跨域请求时突然意识到,如果第三方接口返回恶意代码,岂不是能直接在页面执行?比如我这样调用: const script = document.createElement('script...
-
2
回答
96浏览
CSP配置报错:Refused to execute inline script because it violates the following Content Security Policy directive
我在给项目添加CSP头时遇到了问题,页面一加载就报错:Refused to execute inline script because it violates the Content Security...
-
2
回答
79浏览
Session固定攻击怎么防?我的登录流程可能有漏洞?
我在开发登录功能时发现,用户登录后会设置session cookie,但测试时发现攻击者可能通过固定session ID来劫持账户。虽然设置了HttpOnly和Secure属性,但测试工具仍能预设se...
-
2
回答
66浏览
设置Cross-Origin-Opener-Policy后窗口通讯失效怎么办?
在单页应用里用window.open打开第三方支付页面时,发现通过postMessage传过去的支付结果总被拦截。之前正常工作的代码现在提示"Blocked by Cross-Origin-Opene...
