安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
41浏览
在Sequelize中使用findOrCreate时如何防止SQL注入?
我最近在做用户注册功能,用Sequelize的findOrCreate方法根据邮箱查找或创建用户。但发现直接拼接查询条件时(比如`where: { email: req.body.email }`),...
-
2
回答
75浏览
Origin头检查CSRF防护时,跨域请求被拦截怎么办?
我在给表单提交接口加CSRF防护时,后端要求比对Origin头。但发现当用户从https://myapp.com跳转到支付页面时,跨域预检请求被拦截了。 代码是这样的: // 后端中间件逻辑(伪代码)...
-
2
回答
68浏览
为什么Vue中使用bcrypt比较密码总是返回false?
我在Vue项目里用bcrypt加密用户密码,注册时能正常存储哈希值,但登录验证时用bcrypt.compare始终返回false。比如用户输入正确密码,直接对比数据库里的哈希值就不对,这是为什么? 代...
-
2
回答
83浏览
如何有效识别并绕过JavaScript控制流扁平化保护?
最近在分析一个加密库的混淆代码时,发现函数调用都被拆成了一堆if-else嵌套和无意义的跳转,变量名全是a_b_c这种,完全看不懂逻辑结构。 试过用de4dot和burp的JSE反混淆,但控制流扁平化...
-
2
回答
53浏览
为什么用了escape()后XSS过滤还是没效果?
最近在做用户评论功能,前端用escape()转义了输入内容,但测试时发现输入alert(1)依然能执行,这是怎么回事?我检查过代码确实调用了escape,但漏洞还是存在... 尝试过在服务端也做了过滤...
-
2
回答
87浏览
前端把API Secret放在环境变量里打包后还是能被看到怎么办?
我最近在做一个项目,要用到第三方API,按教程把Secret放在.env文件里了。但打包成生产版本后,用开发者工具一搜,secret居然能直接看到,这样不是完全暴露了吗? 试过用Webpack环境变量...
-
2
回答
102浏览
为什么Vue项目中混合加密发送的密文到后端解密失败?
最近在做一个需要混合加密的登录功能,用RSA加密对称密钥然后AES加密密码,但后端总说解密失败。 代码逻辑是这样的:先用后端给的公钥加密AES的密钥,再用这个密钥加密密码,然后一起发过去。但测试时后端...
-
2
回答
103浏览
如何安全地更新npm依赖包版本?
最近在更新项目里的一些npm包,发现有几个核心库有新的大版本更新了。直接升级怕影响现有功能,想知道有没有什么好方法可以先测试新版本对项目的影响? 试过在一个分支上手动修改package.json然后运...
-
2
回答
42浏览
怎样正确实现双提交Cookie来防御CS
最近在学习用Double Submit Cookie方法来增强网站的安全性,防止CSRF攻击。但是,在实际操作过程中遇到了些问题。我的做法是在用户登录时生成一个随机token存储于cookie中,并且...
