安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
32浏览
Vue中用jsencrypt加密RSA后结果与服务端不一致怎么办?
我在做一个登录接口需要RSA加密密码字段,用jsencrypt库加密后的字符串和后端给的示例完全不一样。按照文档把公钥写成字符串,但加密结果长度不对,服务端提示密文格式错误。 代码这样写的:<t...
-
1
回答
50浏览
为什么设置了CSP后图片和字体资源还是被阻止了?
我在开发博客项目时配置了CSP头,但图片和字体资源还是被浏览器拦截了。我明明设置了和,控制台报错显示: Refused to load the image 'https://images.exampl...
-
1
回答
9浏览
混淆后的JavaScript代码怎么还是能被反编译还原?
我在项目里用terser做了代码混淆,但用在线反编译工具居然能轻松还原核心函数逻辑。比如这个加密函数: function encryptData(data) { const key = 'secret...
-
2
回答
23浏览
Vue路由权限验证时如何阻止直接输入URL访问?
最近在做Vue项目权限控制,给路由加了meta配置和导航守卫,但发现当用户直接输入受保护页面的URL时,页面还是会先闪现一下再跳转到登录页。这是怎么回事啊? 代码是这样写的: const routes...
-
1
回答
41浏览
为什么我的Double Submit Cookie防CSRF方案在登录接口失效?
我在用Double Submit Cookie防CSRF时遇到奇怪的问题:其他接口都正常,但登录接口总提示"CSRF Token mismatch"。我检查了cookie设置和请求头,代码看起来没问题...
-
2
回答
32浏览
SameSite=Strict设置后,我的表单提交为什么会失败?
我在后端给登录Cookie设置了SameSite=Strict,但发现用JavaScript提交表单时,请求头里没有携带Cookie,导致认证失败。明明同源的请求啊,这是为什么? 之前用的是SameS...
-
1
回答
44浏览
函数内联混淆后代码报错,该怎么排查?
最近给项目加了代码混淆,用了terser的inline设置,结果打包后页面报错"Cannot read properties of undefined (reading 'call')" 我检查过混淆...
-
1
回答
16浏览
登录失败次数限制导致用户无法正常登录怎么办?
我在做登录功能时遇到了个难题:后端设置了登录失败5次封号1小时的策略,但用户反馈经常误输密码后被封号,体验太差。我试过在前端用localStorage记录失败次数,但刷新页面就重置了。 后来改成后端用...
-
1
回答
20浏览
拖拽区域被iframe覆盖后如何防止点击劫持?
最近在开发一个拖拽上传功能时遇到个难题:页面被嵌入到其他站点的iframe中后,攻击者用透明iframe覆盖我的拖拽区域,诱导用户"误操作"。虽然设置了X-Frame-Options: deny和Co...
-
1
回答
20浏览
子域名之间设置CORS头时,Access-Control-Allow-Origin该怎么写才不会报错?
我在开发主站example.com时,子域名api.example.com返回的JSON数据总被浏览器拦截,控制台提示: Cross-Origin Request Blocked: The Same ...
-
1
回答
35浏览
Vue组件里用隐私计算库处理输入数据时,怎么防止内存泄露风险?
我在做一个需要隐私计算的表单组件,用vue3配合某隐私计算SDK,但发现输入框数据直接绑定到响应式变量后,通过浏览器开发者工具能看到明文数据。 尝试过这样写代码: <template> &...
-
2
回答
12浏览
Vue表单中如何用自定义验证确保GDPR同意框被勾选后才提交?
我在做一个用户注册表单,需要用户勾选隐私政策同意框才能提交。用了vuelidate做验证,但发现即使没勾选也能提交,代码哪里出错了? <template> <form @submit...
-
1
回答
33浏览
联邦学习中本地加密数据如何防止中间人攻击?
最近在做前端联邦学习项目,需要加密用户数据后再上传到服务端聚合。我用AES加密数据后再通过HTTPS发送,但测试时发现中间人能通过抓包获取加密密钥。看代码哪里有问题? const crypto = r...
-
1
回答
29浏览
设置X-Permitted-Cross-Domain-Policies头后为什么跨域策略文件还是能被访问?
我刚给项目加了安全头配置,把X-Permitted-Cross-Domain-Policies设置成null,但用漏洞扫描工具测试时发现crossdomain.xml文件仍然能被外部访问,这不应该是阻...
-
2
回答
64浏览
前端用AES加密大文件时页面卡顿怎么办?
在做文件上传加密时,用crypto.subtle.encrypt()给20MB文件做AES-GCM加密,发现页面会卡顿半秒左右。我尝试把文件分4MB一块加密再合并,但感觉处理大文件时依然卡顿,有没有更...
-
2
回答
117浏览
生物识别认证时,如何安全存储用户的指纹模板数据?
最近在做指纹登录功能,把加密后的指纹模板存在本地storage里,但测试时发现如果用debugger工具能看到加密字符串。尝试过用AES加密再存到后端,但担心后端数据库被攻破后密钥也会泄露,有没有更好...
-
2
回答
16浏览
React里设置了X-XSS-Protection头页面却变空白了?
最近在给React项目加固安全配置,按教程加了X-XSS-Protection头,结果页面直接变空白了。明明后端已经设置过响应头,为什么前端代码里再配置就会出问题? 我尝试在App.js里这样写: f...
-
1
回答
16浏览
React里用预编译语句防SQL注入时参数化失败怎么办?
我在React组件里用Axios调用后端查询接口,参数直接拼接到SQL字符串里了,担心SQL注入风险。按照教程改成预编译语句后,参数化一直失败,控制台报错说"参数位置无效"。 这是我的代码片段: //...
-
2
回答
19浏览
CSS样式中的expression()如何绕过事件属性过滤导致XSS?
我在开发评论系统时发现,即使过滤了所有on开头的事件属性,用户提交的CSS代码还是能触发XSS。比如有人写了个这样的样式: div { width: expression(alert('XSS'));...
-
2
回答
9浏览
前端密码策略验证总是失败怎么办?
我在做用户注册页面时要实现密码复杂度验证,要求必须包含大写字母、数字和特殊符号,且长度至少8位。但测试时发现符合要求的密码也会被拦截。 我写了这样的验证函数: function checkPasswo...
