安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
82浏览
预编译语句防住了注入吗?为什么还是被攻击了?
我用PHP开发用户登录功能时,明明用了预编译语句,但测试时发现输入' OR 1=1 --还是能绕过验证,这是为什么? 代码是这样的: $stmt = $mysqli->prepare("SELE...
-
2
回答
62浏览
安全需求文档该怎么写才能防XSS漏洞?
我们在做用户评论功能时,测试发现XSS漏洞,但安全需求文档里只写了“过滤危险字符”,具体该怎么做才能有效防范呢? 之前尝试用正则表达式过滤了<script>标签和特殊字符,但测试人员用Un...
-
2
回答
73浏览
设置Referrer-Policy后为什么请求头还是带Referer?
在Vue项目里设置了标签,但用axios发请求时发现Referer头还是包含了完整URL,是不是哪里设置错了? 代码是这样写的: <meta name="referrer" content="n...
-
2
回答
103浏览
用户自定义CSS样式被恶意篡改怎么办?
我在做一个允许用户上传CSS样式的社区网站,最近发现有人通过添加类似下面的CSS代码,让页面布局完全乱掉了: body { overflow: hidden !important; } .post-c...
-
2
回答
76浏览
安全多方计算库调用跨域接口时,如何避免明文数据被浏览器拦截?
我在用前端安全多方计算库SecureMultiPartyComputeLib处理用户数据时,需要将加密后的数据通过POST请求发送到后端服务。但发现当调用compute方法后,发送到https://a...
-
2
回答
832浏览
防重放攻击除了时间戳还有啥好方法?我的登录接口被重放了
最近在做用户登录接口的安全测试,用了时间戳+随机数的方式,但测试时发现如果两次请求的时间差在有效期内,攻击者用抓包工具重放请求居然还能成功。比如这样写的请求头:"X-Time": new Date()...
-
2
回答
94浏览
如何确保Cookie内容不被篡改?Secure+HttpOnly还不够吗?
在开发登录功能时,我设置了Cookie的Secure和HttpOnly属性,但测试发现攻击者仍能修改Cookie中的role字段(比如把普通用户改成管理员)。除了用HTTPS加密传输,还有哪些方法能验...
-
2
回答
65浏览
设置Cross-Origin-Opener-Policy后新窗口突然打不开是怎么回事?
我在给网站配置安全头的时候加了"Cross-Origin-Opener-Policy: same-origin",结果页面里用window.open()打开新标签页的按钮突然失效了。点击后控制台报错说...
-
2
回答
52浏览
设置了X-XSS-Protection后CSS样式被过滤导致页面错乱怎么办?
我在开发页面时启用了X-XSS-Protection: 1; mode=block头,但发现动态生成的用户提交内容里的CSS样式被过滤了。比如用户输入的标签带内联样式时,浏览器直接移除了style属性...
-
2
回答
78浏览
Expect-CT头配置后为什么还是出现证书错误提示?
我在Vue项目里设置了Expect-CT头,但访问页面时还是弹出证书错误警告,搞不懂哪里出问题了。配置代码是这样写的: <nuxt> </nuxt> // 在nuxt.conf...
-
2
回答
276浏览
Vue项目嵌套第三方iframe时如何防止点击劫持?
我在开发一个需要嵌入第三方表单的Vue应用,但安全扫描提示存在点击劫持风险。虽然设置了X-Frame-Options响应头,但测试时发现嵌套iframe的内容仍然可以被透明覆盖。这是怎么回事? 我尝试...
-
2
回答
98浏览
用innerHTML显示用户评论时怎么防XSS?样式转义后全乱了
我在做论坛帖子展示功能时,用渲染用户提交的内容,结果测试时发现能注入脚本。后来改用转义函数把<符号替换成<,但用户写的带CSS样式的评论就显示成纯文本了。 比如用户输入: 重要公告...
-
2
回答
91浏览
CSRF Token验证时,表单提交的Token和Cookie里的不一致怎么办?
我在用CSRF Token防护登录表单,后端每次响应头都带了Set-Cookie: csrfToken=xxx,前端用JavaScript读取cookie里的值,然后塞到表单的隐藏字段里: docum...
-
2
回答
324浏览
如何检查用户新密码是否重复使用最近5次密码?
在做密码修改功能时,需要实现"新密码不能与最近5次历史密码重复"的校验,但具体该怎么存储和比对呢? 我尝试在用户表里加了个password_history字段存JSON数组,比如这样:[ "12345...
-
2
回答
97浏览
前端POST请求被漏洞扫描工具标记CSRF漏洞,但后端已加防伪cookie该怎么办?
我在开发登录功能时,前端用axios发送POST请求,后端已通过nginx设置了Csrf-Token cookie且验证了请求头中的token。但最近漏洞扫描工具提示"缺少CSRF防护",明明后端已经...
-
2
回答
55浏览
React中设置X-Frame-Options无效怎么办?
我在React项目里用iframe嵌套了第三方登录页面,结果被安全工具提示存在点击劫持风险。查资料说要设置X-Frame-Options头,但我这样写到组件里没效果: function AuthPag...
-
2
回答
121浏览
第三方Cookie设置了SameSite=Strict为什么还是被跨站访问了?
我在电商网站项目里设置了SameSite=Strict和Secure属性,但今天测试发现广告联盟的第三方域名还是能读取到用户的登录Cookie,这是怎么回事? 尝试过在响应头这样配置: Set-Coo...
-
2
回答
111浏览
npm audit显示高危漏洞但修复后依然存在怎么办?
我在开发一个Vue项目时,用npm audit发现有个高危漏洞(no-ssri@4.0.0),提示影响构建流程。试过运行npm audit fix和手动升级相关包,但漏洞还是没消失。项目用的是Vue ...
-
2
回答
49浏览
Double Submit Cookie的token怎么传到请求头里?
我按照文档做了Double Submit Cookie防护,但测试时发现后端收不到CSRF-TOKEN的请求头,只能拿到cookie里的值。这是为什么啊? 我的登录表单这样写的: document.c...
-
2
回答
77浏览
Vue嵌套路由页面如何防御Strokejacking攻击?
我在开发一个Vue项目时,用户页面需要嵌入第三方的表单页面。最近测试时发现,攻击者可能通过iframe嵌套我们的表单页,用透明层覆盖实现Strokejacking。尝试在后端设置X-Frame-Opt...
