安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
24浏览
为什么我的端到端加密解密后得到乱码?
我在用JavaScript实现聊天应用的端到端加密时遇到问题,用crypto库的AES加密发送的消息,另一端解密后总是乱码。尝试过确保密钥一致和正确设置填充模式,但还是不行。代码大概是这样的: con...
-
2
回答
12浏览
React中如何防范Cookie被劫持?我的会话有时会被盗用
我在用React开发登录功能时,发现用户登录后的session_id存放在Cookie里,但最近测试时发现可以通过XSS漏洞直接读取到这个Cookie。虽然设置了HttpOnly和Secure属性,但...
-
2
回答
24浏览
Vue过滤特殊字符后为什么SQL注入还能被绕过?
在Vue项目里处理搜索框输入时,我给后端API加了引号过滤,但测试SQL注入时发现还是能绕过... 具体场景是用户输入搜索词会拼接SQL语句,我在前端用了正则过滤单双引号,但输入" OR 1=1--%...
-
2
回答
28浏览
PBKDF2导出密钥时,为什么盐值不同却得到相同密钥?
我在用Web Crypto API实现PBKDF2加密密码时遇到奇怪问题:exportKey('raw')导出的密钥,即使每次生成不同的盐值,最终得到的密钥二进制内容却完全一样? 我按照规范写了这样的...
-
1
回答
31浏览
为什么用RSA加密后的数据用公钥解密时出现错误?
在前端用JavaScript实现RSA加密,把用户密码加密后传给后端,但后端用私钥解密时一直报错说数据无效,明明密钥对是自己生成的啊 尝试过用crypto-js库做了这些操作: const encry...
-
2
回答
20浏览
设置了Secure标志的Cookie为什么在HTTPS页面读取不到?
我按照文档配置了服务器返回的Cookie携带Secure标志,但发现HTTPS页面始终无法通过document.cookie获取到该Cookie。明明在开发者工具的Network标签里看到响应头确实有...
-
2
回答
25浏览
权限缓存过期后如何防止页面刷新导致权限失效?
我现在在做前端权限控制,把用户的权限列表存在localStorage里,但发现缓存过期后页面刷新就会失效。之前试过设置过期时间和自动刷新,但这样页面刷新时还是会有一段时间没有权限校验,这样会不会有安全...
-
1
回答
22浏览
Vue组件中手机号脱敏显示失效了怎么办?
在用户信息展示页面需要脱敏显示手机号,写了计算属性处理,但发现像13812345678这样的号码显示成138****5678是对的,可当输入1391234567这种11位以外的号码时就直接返回原值了,...
-
1
回答
50浏览
代码混淆后如何验证前端代码的完整性?
在用Webpack和terser做代码混淆时,我总担心混淆后的代码被篡改。之前尝试用文件hash比对,但发现每次构建生成的混淆代码hash都不一样,这该怎么验证代码完整性呢? 比如我配置了这样的优化选...
-
2
回答
19浏览
权限更新后页面组件没变化,如何不刷新页面同步权限?
我现在在做用户权限控制功能,当用户在侧边栏点击「更新权限」按钮时,后端返回了新的权限列表。但页面上的按钮权限状态没有立刻更新,必须手动刷新才能生效。我尝试在获取新权限后手动调用this.$forceU...
-
1
回答
24浏览
前端AES加密后数据在传输时还是被拦截了怎么办?
在表单提交时用AES加密了用户密码,但用抓包工具还是能看到明文数据,这正常吗? 我按网上的教程用了crypto-js写了个加密方法: function encrypt(data) { return C...
-
2
回答
68浏览
React发送POST请求时AES加密参数总是报错怎么办?
最近在做一个用户登录页面,需要对接后端提供的AES加密接口。按照文档要求,我得在发送请求前把手机号和密码用AES-128-ECB加密,但测试时后端一直返回"解密失败"的错误... 我的React代码是...
-
1
回答
26浏览
在Sequelize中使用findOrCreate时如何防止SQL注入?
最近在用Sequelize做用户注册功能时,发现直接拼接查询条件可能会有SQL注入风险。比如这样写: User.findOrCreate({ where: { username: req.body.u...
-
1
回答
30浏览
Access Token 存储在 LocalStorage 安全吗?遇到跨域请求被泄露怎么办?
我在做用户登录功能时把 Access Token 放在了 LocalStorage,但测试跨域请求时突然出现错误:“Failed to load resource: Preflight respons...
-
2
回答
23浏览
React中使用dangerouslySetInnerHTML时如何有效防止XSS攻击?
我在做一个可以渲染富文本内容的功能,直接用dangerouslySetInnerHTML渲染用户提交的HTML字符串时,发现能被注入恶意脚本。虽然用了htmlspecialchars转义,但页面样式完...
-
2
回答
24浏览
Vue项目关闭sourceMap后生产包里还是有 sourceMappingURL注释怎么办?
最近在做Vue项目代码混淆时遇到个奇怪的问题,虽然在vue.config.js里设置了productionSourceMap: false,但打包后的.js文件末尾还是有这个注释://# source...
-
2
回答
29浏览
CSP设置后图片资源被阻止,如何排查?
最近给项目加CSP头时发现图片加载失败,控制台提示"Blocked ... source of 'http://...' isn't listed"。我试过在标签用nonce和在CSP头添加,但问题依...
-
1
回答
17浏览
为什么我的CSP策略阻止了eval函数,但移除unsafe-eval又报错?
我在开发动态表单组件时用到了eval执行表达式,CSP报错提示缺少unsafe-eval。尝试在header里加了script-src 'self' 'unsafe-eval',但控制台还是显示: C...
-
2
回答
10浏览
OWASP依赖检查显示高危漏洞,但依赖项已是最新版本怎么办?
我在项目里用OWASP Dependency-Check扫描时,发现axios@1.6.2有CVE-2023-2793高危漏洞,但运行npm update后版本没变。检查了package.json里明...
-
1
回答
25浏览
React中如何用base64解码混淆的字符串,但遇到控制台报错?
我在React组件里尝试用atob解码混淆后的base64字符串,但控制台一直报"Invalid character in input string"错误。明明在后端返回的字符串看起来没问题啊。 比如...
