安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
20浏览
CORS 配置用通配符 * 会有安全风险吗?
我们后端为了方便开发,把 CORS 的 Access-Control-Allow-Origin 设成了 *,现在上线前有点担心。听说这样会让任何网站都能跨域请求我们的 API,是不是真的有风险? 特别...
-
1
回答
27浏览
前端删除用户数据后,如何确保不留痕迹?
我们有个用户设置页面,允许用户一键删除自己的所有数据。前端调用接口删了,但发现 localStorage 里还有缓存信息没清干净,会不会有隐私泄露风险? 比如用户登出后,我试过手动清理: localS...
-
1
回答
20浏览
前端发请求加了自定义头,后端还是报CSRF错误?
我在用 Axios 发请求时手动加了个 X-Requested-With: XMLHttpRequest,但后端(Laravel)还是返回 419 CSRF token mismatch。不是说只要带...
-
1
回答
37浏览
CSP策略生效后内联脚本报错怎么解决?
我在本地测试 Content Security Policy,加了 CSP 头之后页面里的内联 JS 直接被拦截了,控制台报错说“Refused to execute inline script”。但...
-
1
回答
44浏览
前端加密时密钥到底该怎么安全存储?
我在做用户敏感数据的前端加密,用的是 AES,但密钥放哪儿都感觉不安全。放 localStorage 会被 XSS 拿走,写死在代码里又容易被反编译看到,这不就白加密了? 试过用环境变量 proces...
-
1
回答
40浏览
前端请求被拦截,Referrer Policy 到底该怎么配?
我在做跨域请求时老是被浏览器拦掉,控制台提示“Referrer Policy 限制了 referer 头”。试过在 meta 里加 <meta name="referrer" content="...
-
1
回答
44浏览
SQLMap测试时怎么判断是否存在SQL注入?
我用 SQLMap 测试一个登录接口,但返回结果不太确定是不是真的有注入点。比如运行 sqlmap -u "http://example.com/login" --data="username=adm...
-
1
回答
40浏览
SCA扫描报了lodash高危漏洞,但我项目里根本没直接装它?
最近CI里的SCA扫描突然报了个lodash的CVE-2023-45133高危漏洞,可我查了package.json压根没直接依赖lodash。是不是被某个依赖偷偷带进来的?该怎么定位和修复啊? 我试...
-
1
回答
25浏览
AppScan扫出XSS漏洞但前端已转义,怎么办?
我们前端用React开发,所有用户输入都通过JSX自动转义了,比如{userInput}这种写法。但AppScan还是报反射型XSS漏洞,说在URL参数里注入脚本能触发。我本地测试根本复现不了,是不是...
-
2
回答
30浏览
前端输入过滤真能防XSS吗?我这样写安全吗?
我在React项目里做用户评论功能,担心XSS攻击,就对输入做了个简单过滤,但不确定这样够不够。比如把script标签替换成空字符串,但听说还有其他绕过方式? 下面是我现在的处理代码: const s...
-
1
回答
33浏览
前端展示用户数据时如何做假名化处理?
我们系统要在前端展示用户列表,但不能直接显示真实姓名,得用假名。我试过在接口返回后手动替换名字,但感觉不太安全,而且分页加载时容易漏掉。 比如现在这段 HTML 是从后端拿的数据直接渲染的: <...
-
1
回答
20浏览
登录后Session ID没变,是不是有Session固定风险?
我最近在做用户登录功能,发现登录前后浏览器里的sessionid Cookie完全一样。查了下资料,说这可能是Session固定攻击的隐患?但我后端是用PHP写的,登录时明明调用了session_re...
-
2
回答
33浏览
为什么我的跨域请求总触发预检?
我用 fetch 发了个 POST 请求,带了自定义 header,结果浏览器先发了个 OPTIONS 请求,后端没处理就直接 404 了。 明明只是想传个 X-Auth-Token,为啥会触发 CO...
-
1
回答
37浏览
前端操作日志怎么安全地记录用户行为?
我们项目要加操作日志功能,记录用户在页面上的关键操作,比如点击了哪个按钮、修改了什么数据。但我不确定前端直接打日志会不会有安全风险? 比如现在我用 fetch('/log', { method: 'P...
-
1
回答
45浏览
前端加密真能防抓包吗?为什么我加密了还是被看到明文?
最近在做登录功能,听说前端加密能防止密码被抓包看到,我就用 crypto-js 对密码做了 AES 加密再传给后端。但用 Charles 抓包一看,发现请求里的密文虽然看不懂,可我在浏览器控制台里随便...
-
1
回答
41浏览
前端怎么实现K匿名来保护用户隐私?
我在做用户数据脱敏,听说 K 匿名能防重识别攻击,但不太清楚前端该怎么用。比如我有一批用户年龄和城市的数据,想确保每条记录在组合后至少有 K 条相同,这样别人没法通过交叉信息猜出是谁。 我试着写了个简...
-
1
回答
38浏览
前端项目里引入的第三方CSS库会不会带来供应链安全风险?
最近在用一个开源的UI组件库,直接通过CDN引入了它的CSS文件,但听说依赖外部资源可能有安全问题。比如会不会被注入恶意样式或者重定向到钓鱼页面?我试过本地托管,但更新太麻烦。 下面是我现在用的那段C...
-
1
回答
42浏览
用ORM框架就真的不会SQL注入了吗?
我最近在Vue项目里用TypeORM做后端数据查询,听说ORM能防SQL注入,但心里还是没底。比如下面这种写法安全吗? <script setup> import { getReposit...
-
1
回答
33浏览
前端请求被限频了怎么办?怎么处理接口频率限制?
我最近在做一个表单提交功能,用户点击提交后调用后端 API,但频繁点击时后端返回 429 Too Many Requests。我已经加了防抖,但还是会被限流,是不是还要配合其他策略? 比如能不能在前端...
-
2
回答
31浏览
前端如何防止 Likejacking 点击劫持攻击?
最近在做社交分享功能,担心被人用透明 iframe 套我的点赞按钮搞 Likejacking,试过加 X-Frame-Options 但好像不够? 我后端是 Nginx,现在加了这行: add_hea...
