安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
20浏览
Mongoose 查询真的能防 SQL 注入吗?
我最近在用 Mongoose 做一个用户搜索功能,前端传个用户名过来,后端直接用 User.findOne({ username: req.query.name }) 查询。听说 Mongoose 会...
-
1
回答
37浏览
前端如何在Vue项目中安全地处理用户输入以防止XSS攻击?
我在做DevSecOps集成时,安全扫描工具报了一个高危XSS漏洞,说用户输入直接渲染到页面上了。我试过用v-text,但有些地方必须用v-html展示富文本,结果就被扫出问题了。 比如下面这段代码,...
-
1
回答
69浏览
CSP 的 style-src 为啥会阻止内联样式?
我在项目里加了 Content Security Policy,结果页面的内联样式全挂了,控制台报错说被 style-src 阻止了。 我试过在 CSP 里加上 'unsafe-inline',但听说...
-
2
回答
29浏览
font-src 配置了 CDN 地址为什么字体还是加载失败?
我在项目里用了 Google Fonts,CSP 里也加了对应的域名,但浏览器控制台一直报「Refused to load font from...」的错误。明明其他资源比如 script-src 引...
-
2
回答
33浏览
DAST扫描前端页面时为什么总报CSRF漏洞?
我用 OWASP ZAP 做 DAST 扫描,每次扫我们 React 项目都提示 CSRF 漏洞,但我们根本没用表单提交,全是 fetch 请求,而且后端也校验了 token 啊。 尝试过在请求头加 ...
-
1
回答
29浏览
Double Submit Cookie 防 CSRF 到底怎么实现才安全?
我最近在项目里尝试用 Double Submit Cookie 方案防 CSRF,后端把 token 放在 Set-Cookie 里,前端再从 cookie 读出来塞到请求头。但我不确定这样是不是真的...
-
2
回答
33浏览
白盒测试时如何检测前端代码中的XSS漏洞?
我在做项目的安全自查,听说白盒测试要查XSS,但不太清楚具体该看哪些地方。比如用户输入的内容在页面上展示时,是不是只要用了innerHTML就有风险? 我试过用ESLint的security插件,但它...
-
1
回答
60浏览
GET请求里放修改操作会被CSRF攻击吗?
我最近在做用户设置页面,不小心把“删除草稿”功能写成了GET请求,类似点个链接就删了。后来听说这样会有CSRF风险,但我不太确定是不是真的有问题? 比如下面这种写法: <a href="/api...
-
1
回答
33浏览
CSP配置后内联脚本报错怎么解决?
我在项目里加了 Content-Security-Policy,结果页面上所有内联的 <script> 都被拦了,控制台报错说不安全。 试过加 'unsafe-inline',但听说这会降...
-
1
回答
60浏览
CSP策略配置后为什么内联脚本报错?
我在项目里加了 Content-Security-Policy,结果页面上所有内联的 <script> 都被拦截了,控制台报错说违反了 script-src 策略。 我试过加上 'unsa...
-
2
回答
39浏览
前端在红蓝对抗中如何防止 XSS 被利用?
我们团队最近做了一次红队演练,发现一个页面能被注入脚本。我明明用了 innerText,怎么还是被绕过了? 比如下面这段代码,用户输入的内容是从 URL 参数里拿的,我以为这样就安全了: const ...
-
1
回答
74浏览
前端用 RSA 加密登录密码,为什么后端解密失败?
我在 React 项目里用 jsencrypt 做登录密码的 RSA 加密,本地测试加密看起来没问题,但传给 Java 后端后一直报“解密失败”或“BadPaddingException”。是不是公钥...
-
1
回答
41浏览
Ddependabot 自动创建的 PR 为什么没触发 CI?
我项目里启用了 Dependabot,它确实会自动提交依赖更新的 PR。但奇怪的是,这些 PR 没有触发 GitHub Actions 的 CI 流程,而我自己手动开的 PR 都正常跑 CI。是不是 ...
-
1
回答
67浏览
登录后Session ID没变,是不是有Session固定风险?
我最近在做用户登录功能,发现登录前后浏览器里的sessionid Cookie完全没变。查资料说这可能有Session固定攻击的风险,但我不确定是不是真的有问题。 后端是用PHP写的,登录时只是验证账...
-
2
回答
81浏览
前端如何处理用户密码过期的提示逻辑?
我们系统要求用户每90天改一次密码,但我不确定前端该怎么友好地提醒用户。后端会在登录接口返回password_expired: true,我现在直接弹个alert太生硬了,有没有更自然的做法? 试过在...
-
1
回答
70浏览
X-Permitted-Cross-Domain-Policies 安全头到底该怎么配?
最近在做前端安全加固,看到建议加 X-Permitted-Cross-Domain-Policies 头,但文档说法不一。我试过设成 "none",结果 Flash 资源加载报错(虽然现在没人用 Fl...
-
1
回答
48浏览
前端接口加密怎么做才安全?
最近项目要求所有请求参数都要加密,但我试了在 Vue 里用 AES 加密后发给后端,结果后端解密总是失败,不知道是不是我加密方式有问题。 我用的是 CryptoJS,加密逻辑写在 axios 请求拦截...
-
1
回答
29浏览
IAST工具在React项目中怎么检测到XSS漏洞?
我们团队最近引入了IAST做安全测试,但我有点搞不清楚它在前端React项目里到底能检测到什么。比如下面这段代码,明显有XSS风险,但IAST扫描后没报任何问题,是我用法不对还是IAST本来就不擅长检...
-
1
回答
29浏览
SameSite 设置为 Lax 后为什么 POST 请求还是被拦截了?
我最近在项目里给 cookie 加了 SameSite=Lax 来防 CSRF,但发现用户从外部链接跳转进来后,提交表单的 POST 请求还是失败了。不是说 Lax 允许安全的跨站 GET 吗?那 P...
-
2
回答
38浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在部署一个前后端分离的项目,后端设置 Cookie 时指定了 Domain 为 .example.com,但前端在子域名 app.example.com 下死活读不到这个 Cookie,是不是 Do...
