安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
41浏览
React中使用strict-dynamic后动态内联样式还是被CSP拦截怎么办?
最近给项目加CSP防护时遇到怪事,按照文档在nonce策略里加了'strict-dynamic',但React组件里的动态内联样式还是被拦截。明明设置了nonce和函数生成样式啊... 代码大概是这样...
-
2
回答
90浏览
React表单二次确认弹窗如何有效防止CSRF攻击?
在做用户删除功能时加了二次确认弹窗,但同事说这不能防止CSRF攻击。我用React写了个带确认对话框的组件,代码类似这样: function DeleteButton() { const handle...
-
2
回答
69浏览
前端用localStorage存Refresh Token被恶意调用,怎么防?
我在项目里用JWT方案,把Refresh Token存在localStorage里,但测试时发现如果前端页面被XSS攻击,Refresh Token会被直接窃取。虽然Access Token设置了短时...
-
2
回答
54浏览
Scrypt参数选择不当导致密码验证失败怎么办?
我在用scrypt加密用户密码时,调整了salt长度和N参数,结果密码验证一直报错。之前用默认参数没问题,但参考文档把N设成16384后,存储的hash和验证时算出来的值完全不一样。 尝试过把r和p参...
-
2
回答
67浏览
设置X-Permitted-Cross-Domain-Policies后Flash跨域还是被拦截怎么办?
我在配置安全头时加了X-Permitted-Cross-Domain-Policies: master-only,但Flash上传功能请求crossdomain.xml时还是报跨域错误,这是为什么? ...
-
2
回答
46浏览
Argon2密码验证通过后,为什么后续请求还是需要重新验证用户身份?
我在用Express和argon2做密码登录功能,登录时argon2.verify对比密码成功后,用session记录了用户ID。但之后调用保护的API时,express-session突然显示用户未...
-
2
回答
56浏览
参数化查询时,如何处理动态表名导致的SQL注入风险?
在开发用户数据分析功能时遇到了个难题,我需要根据用户角色动态查询不同表的数据。比如普通用户查user_data表,管理员查admin_data表。 之前用字符串拼接表名写过这样的SQL:SELECT ...
-
2
回答
72浏览
为什么我的Metasploit模块在前端测试时提示连接被拒绝?
我在本地测试一个前端应用的API接口时,用Metasploit的http_header_flood模块模拟DDoS攻击,设置RHOSTS为本机IP后运行,结果一直报"Connection refuse...
-
2
回答
58浏览
前端鉴权时,如何防止他人伪造用户权限标识?
我现在在做项目权限控制,用JWT存了用户角色信息。前端通过请求头携带权限标识,但发现直接存字符串太容易被篡改了。试过用加密和签名,但别人拿到token后还是能解密出权限字段随意修改。 比如用户本应该是...
-
2
回答
66浏览
Vue项目混淆后方法名乱码导致报错怎么办?
最近给Vue项目做代码混淆时遇到奇怪的问题,混淆后的JS文件里方法名变成了'_$_0'这种乱码形式,但运行时却报'Cannot read properties of undefined'错误。 我的组...
-
2
回答
75浏览
React应用部署后CSP头阻止了内联脚本,但业务需要动态事件处理怎么办?
我在给React项目配置Content-Security-Policy时遇到了问题。按照安全规范设置了"script-src 'self'",但页面直接报错: Refused to execute i...
-
2
回答
273浏览
React中如何用差分隐私对用户搜索词添加噪声而不影响功能?
我在做一个搜索功能时想用差分隐私保护用户输入,但不知道怎么平衡隐私和准确性。比如用户输入"apple",我尝试给每个字符加随机偏移: const addNoiseToSearch = (input) ...
-
2
回答
53浏览
在前端用模板字符串拼接SQL时,怎么防OWASP Top 10的注入漏洞?
我在做用户搜索功能时,后端让前端传原始搜索词,用模板字符串拼接SQL查询。但测试时发现这属于A03注入漏洞。虽然改用了参数化查询,但后端报错说参数顺序不对... 具体场景是用户输入框内容拼接到"SEL...
-
2
回答
97浏览
X-Frame-Options设置为SAMEORIGIN后页面仍被嵌入怎么办?
我在后端设置了X-Frame-Options为SAMEORIGIN,但发现页面还是能被其他域名iframe嵌入,这是为什么? 比如在Express里这样配置的: app.use((req, res, ...
-
2
回答
44浏览
设置Cookie的Expires时间后,为什么浏览器仍然保留未过期的Cookie?
我之前给登录页面的cookie设置了过期时间为当前时间减1天,按理说应该立即失效,但用户退出登录后刷新页面,浏览器里这个cookie居然还在? 我检查过代码是这样写的:document.cookie ...
-
2
回答
60浏览
设置Cross-Origin-Resource-Policy后图片还是被阻止,哪里配置错了?
在React项目里用第三方图片地址,明明设置了CORS策略,但浏览器还是报跨域错误。我加了"Cross-Origin-Resource-Policy: cross-origin"头,但控制台还是提示:...
-
2
回答
54浏览
SAST扫描说我这个JS代码有注入漏洞,该怎么改?
我在写一个处理用户输入的函数,用字符串拼接SQL查询的时候,SAST工具突然报高危漏洞。代码看起来没问题啊,我明明用了双引号转义…… function buildQuery(input) { cons...
-
2
回答
38浏览
如何防范事件属性中的XSS漏洞?比如onclick里被注入脚本?
最近在做用户评论功能时,允许用户自定义事件属性(比如onclick),但测试时发现如果输入"onclick=alert(1)"会被直接执行。我尝试过滤了常见的事件属性名,但测试人员用"onCLick"...
-
2
回答
78浏览
SAST扫描总报React组件XSS漏洞,但代码明明转义了怎么办?
最近给React项目配置了SAST工具,扫描时总提示组件存在XSS风险。代码里已经用dangerouslySetInnerHTML包裹了sanitization函数处理的数据,为什么还是报这个漏洞? ...
-
2
回答
55浏览
如何在前端表单提交时有效隐藏用户手机号?
现在遇到个问题,项目里需要用户提交包含手机号的表单,但根据隐私要求只能传输后四位。试过用substr截取后四位,但发现原始手机号还在请求体里,这样还是有泄露风险。如果直接在前端把前面的数字替换成星号,...
