安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
58浏览
CSP策略配置后为什么还是被绕过执行了内联脚本?
在做渗透测试时,给网站加了CSP策略禁止内联脚本,但测试人员用base64编码的dataURI依然能执行恶意脚本,这是怎么回事? 我的CSP配置是这样的:Content-Security-Policy...
-
2
回答
92浏览
CSRF防护中,如何在不刷新页面的情况下安全更新CSRF Token?
在做单页应用时遇到了CSRF Token过期问题。前端用axios拦截器在请求头带上token,但用户长时间登录后,后端会返回403要求更新token。我尝试在响应拦截器里检测403错误后,通过/re...
-
2
回答
35浏览
白盒测试时发现CSS注入漏洞,如何验证并修复?
在审计前端代码时发现一个动态插入用户CSS样式的功能,像这样: .example { content: attr(data-style); /* 用户提供的样式会直接填充到data-style属性 *...
-
2
回答
99浏览
如何确保前端Cookie内容没有被篡改?
最近在做用户登录功能时发现,如果直接用document.cookie = "userId=123",怎么防止中间人修改Cookie里的userId呢? 试过给Cookie加了加密,但后来想到就算加密了...
-
2
回答
55浏览
React组件如何防止点击劫持绕过确认弹窗?
我正在给一个删除按钮加确认弹窗,但测试时发现如果页面被嵌入iframe,攻击者仍能通过透明覆盖层触发点击。虽然用了事件冒泡阻止和CSS定位,但效果不好。代码如下: function ConfirmBu...
-
2
回答
41浏览
设置了font-src还是加载不了外部字体文件怎么办?
我在用CSP时设置了font-src 'self' fonts.example.com,但页面还是报错“The page’s settings blocked the loading of a res...
-
2
回答
127浏览
为什么设置了max-age的Persistent Cookie没保存到下次访问?
我在登录接口里设置了带max-age=3600的Cookie,明明设置了持久化时间,但刷新页面后cookie就消失了。测试代码是这样的: res.cookie('token', token, { ma...
-
2
回答
98浏览
React表单提交时验证码验证总是失败怎么办?
我在开发用户重置密码功能时,用React写了带验证码的表单,但每次提交后端都返回验证码错误。明明前端生成的验证码和输入的一致,这是为什么呢? 我按照教程在后端生成验证码图片后,把验证码文本存在sess...
-
2
回答
67浏览
如何检测用户频繁提交表单后的异常行为?
最近在做一个用户反馈表单的安全审计,发现有人用脚本频繁提交空数据。之前用了localStorage记录提交时间,但测试时发现客户端可以轻易清除缓存绕过限制。 尝试在后端加了IP限流,但正常用户抱怨偶尔...
-
2
回答
111浏览
使用前端框架时漏洞扫描工具提示XSS漏洞该怎么处理?
我在项目里用Vue写了一个富文本展示组件,用v-html渲染后台返回的内容,漏洞扫描工具提示存在反射型XSS漏洞。我尝试过用String.prototype.replace过滤尖括号,但扫描结果还是报...
-
2
回答
61浏览
CAS服务票验证失败,服务端返回Ticket不匹配怎么办?
在React应用集成CAS单点登录时,获取到serviceTicket后调用验证接口总报错“Ticket不匹配”。代码逻辑没问题,但控制台显示400错误,试过刷新页面重试还是不行。 function ...
-
2
回答
69浏览
npm审计显示high漏洞但修复失败,该怎么排查?
最近用npm audit发现项目有个high级别的lodash漏洞,但运行npm audit fix后还是没解决。手动升级lodash到4.17.21版本,结果其他依赖报错不兼容,卡住了。 项目里有个...
-
2
回答
146浏览
Bug Bounty测试时发现表单输入未转义,但代码里明明加了htmlspecialchars,怎么回事?
最近公司启动了Bug Bounty计划,我负责前端的安全自查。在用户评论表单里,我给所有输入框加了htmlspecialchars处理,但安全扫描工具还是提示XSS漏洞: <form actio...
-
2
回答
69浏览
前端权限刷新时如何保留用户当前页面状态?
我在开发权限管理系统时遇到个难题:当用户角色权限动态更新后,前端通过axios.get('/refresh-permissions')拉取新权限,但直接刷新页面会导致当前编辑表单的数据丢失。尝试过用V...
-
1
回答
72浏览
为什么用Nessus扫描后端API时提示“401未授权”但正常访问没问题?
我在用Nessus扫描公司内网的后端API接口时,总提示401 Unauthorized错误,但用Postman直接带相同Token访问完全没问题。 已经按文档配置了认证凭证:{ "authType"...
-
2
回答
65浏览
为什么设置了Access-Control-Allow-Origin却还是出现CORS错误?
我用Express写了后端API,设置了app.use(cors()),但前端调POST接口时还是报错“No 'Access-Control-Allow-Origin' header present”...
-
2
回答
104浏览
用户组权限控制如何避免重复权限导致混乱?
我现在在做用户权限控制,用用户组来管理权限,但发现不同用户组可能会有重复的权限项。比如用户同时属于管理员组和编辑组,两个组都有"delete_post"权限,合并权限时该怎么处理才不会重复? 我尝试用...
-
2
回答
80浏览
设置了font-src还是报字体加载被CSP阻止,哪里配置错了?
我在页面里用@font-face引入了自定义字体,同时设置了CSP头"font-src 'self';"。但控制台还是报错: Refused to load the font 'data:applic...
-
2
回答
164浏览
修复XSS漏洞后怎么验证是否彻底解决了?
刚处理完前端页面的XSS漏洞,用两个不同工具测试结果却不一样,一个显示干净一个还能注入,这时候该怎么确认漏洞到底修好了没? 之前在评论区输入,修复后用OWASP ZAP扫描没问题,但自己手动测试居然还...
-
2
回答
87浏览
混合加密时公钥硬编码到前端安全吗?加密后的数据怎么传给后端?
我在用Vue做文件上传功能时想用混合加密保护数据,但卡在非对称密钥的传输上了。现在用RSA加密AES密钥,但直接把公钥写死在前端代码里(如下),这样会不会被轻易抓包获取公钥? import Crypt...
