安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
83浏览
密码复杂度规则挡不住字典攻击怎么办?
我在做登录功能时发现,即使设置了必须包含大小写字母+数字+特殊字符的密码规则,测试时用现成的字典词库还是能暴力破解成功。尝试过限制登录次数,但前端用setTimeout延迟验证反而让攻击变慢了。该怎么...
-
2
回答
60浏览
React代码混淆时,常量折叠导致敏感信息泄露怎么办?
我在React项目里用terser做代码混淆,但发现硬编码的API密钥被直接暴露了。按照教程配置了常量折叠选项,但没效果... 比如这个组件里的API_KEY: import { useState, ...
-
2
回答
112浏览
React表单提交时Anti-CSRF Token没变化导致重复提交被拦截怎么办?
我在用React做文件上传功能时,按照教程实现了CSRF防护,但发现同一个页面多次提交时token没变,导致第二次提交被服务器拦截了。明明在组件挂载时生成了token,代码是这样的: class Fi...
-
2
回答
76浏览
Vue中RBAC动态权限控制导致组件重复渲染怎么解决?
在用Vue做RBAC权限控制时遇到个问题,我现在通过v-if根据角色权限显示按钮,但发现每次角色信息更新后,所有被控制的组件都会重新渲染,这样会影响性能吗? 比如这样写: <template&g...
-
1
回答
172浏览
CSRF Token在AJAX请求中失效怎么办?后端返回403错误
我在做用户资料更新功能时遇到了问题。后端要求所有POST请求必须携带CSRF Token,我按照常规做法在表单里加了隐藏字段_csrf,但用fetch提交时后端一直返回403。 尝试过把token放在...
-
2
回答
40浏览
为什么我的CSRF令牌验证总是失败?
我在表单提交里用了同步令牌防护,前端生成token存到cookie和隐藏字段,但提交后后端一直报错说令牌无效,这是哪里出错了呢? 我的实现是这样的:每次页面加载时用JavaScript生成随机字符串存...
-
2
回答
61浏览
Double Submit Cookie设置后服务端无法验证,哪里出问题了?
我在用Double Submit Cookie防护CSRF时遇到问题,设置了cookie和请求头,但服务端一直提示验证失败。前端代码是这样的: document.cookie = `csrftoken...
-
2
回答
103浏览
前端登录表单加了输入限制,为什么还是被暴力破解尝试?
我给登录表单加了最小输入长度和错误次数限制,但监控显示攻击者还是能频繁尝试。代码这样写的: 登录 let failedAttempts = 0; document.getElementById('lo...
-
2
回答
54浏览
Cookie Banner固定定位在移动端失效怎么办?
最近在给网站加Cookie同意弹窗,用position:fixed定位在底部,PC端显示正常,但手机横屏时整个弹窗会被挤到页面外层了,这是什么情况啊? 尝试过这样写CSS: .cookie-banne...
-
1
回答
46浏览
React中如何防止使用window.location.search导致的DOM型XSS?
我在React组件里用URL参数显示用户输入,发现这样写可能有XSS漏洞: function SearchResults() { const searchParam = new URLSearchPa...
-
2
回答
305浏览
AppScan扫描后提示‘XSS漏洞’,但代码里用了转义,怎么解决?
我在用AppScan扫描Vue项目时,发现一个XSS漏洞指向这个组件: <div v-html="renderContent"></div> 代码里已经对接口返回的数据做了HT...
-
2
回答
50浏览
为什么我的SAML断言验证总是报签名无效错误?
我在做第三方SAML登录集成时,用passport-saml解析断言时一直报"Signature validation failed"。已经确认用对方提供的cert文件了,甚至把断言里的证书内容复制到...
-
2
回答
90浏览
Vue中如何根据角色动态渲染侧边栏菜单?
最近在做后台管理系统时遇到权限控制问题。我尝试根据用户角色动态显示侧边栏菜单,但发现角色切换后旧菜单残留: export default { data() { return { menus: [], ...
-
2
回答
154浏览
React表单提交时密码加密失败怎么办?
我在登录表单里用bcrypt加密密码,但提交后密码字段变成undefined了,这是为什么啊? 场景是这样的:用户输入密码后点击登录,我用bcrypt.hashSync加密密码再发请求。但控制台打印出...
-
2
回答
93浏览
如何防止攻击者绕过我的Top窗口检测防御?
我在页面加了if (top !== self) top.location=self;想防点击劫持,但测试时发现攻击者用透明iframe叠加后检测失效了。明明设置了X-Frame-Options: SA...
-
2
回答
87浏览
在SDL中如何防止表单提交时的XSS攻击?
我在用Vue做用户反馈表单时,按照SDL要求加了输入过滤,但测试时发现恶意脚本还是能执行... 表单代码是这样的: 提交 我在提交前用正则替换了<script>标签: userInput....
-
2
回答
549浏览
如何阻止CSS光标偏移导致的按钮点击劫持漏洞?
我在做带光标动画的按钮组件时遇到问题。用transform: translate()让光标图标跟随鼠标,但测试发现恶意页面能通过绝对定位覆盖,让用户点击到隐藏的按钮。试过设置pointer-event...
-
2
回答
83浏览
密码管理器如何防止跨站点凭证填充攻击?
最近在开发自己的密码管理器,发现用户用浏览器自动填充密码时,担心跨站点凭证填充攻击怎么办? 试过给输入框加上autocomplete="new-password",但好像没用……后来查资料说要结合HI...
-
2
回答
132浏览
设置Cookie的Domain为子域名后,主域名无法访问,该怎么解决?
我在子域名测试.example.com设置了一个Cookie,代码这样写的:document.cookie = "auth=123; Domain=test.example.com; Path=/;"...
-
2
回答
76浏览
Vue组件内行内样式为什么被CSP拦截报错?
我在Vue组件里用了行内样式,但浏览器报错"Refused to apply inline style because it violates the following Content Securi...
