安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
42浏览
前端代码里怎么防止XSS攻击?我这样写安全吗?
最近在做渗透测试,发现我们项目里有个用户输入展示的地方可能有XSS风险。我用React直接渲染用户输入的内容,但听说这样不安全,可又不确定具体哪里有问题。 我试过用DOMPurify处理,但团队有人说...
-
1
回答
31浏览
Token过期后如何自动刷新并重发请求?
我在用 Axios 拦截器处理 Token 过期的问题,但每次 401 后手动跳登录页体验太差。有没有办法自动刷新 Token 并重试原来的请求? 我试过在响应拦截器里调刷新接口,拿到新 Token ...
-
1
回答
48浏览
前端做漏洞扫描时怎么处理XSS误报?
我们用 OWASP ZAP 扫描项目,结果报了一堆 XSS 风险,但很多其实是安全的。比如有个搜索框输入 <script> 后页面确实会显示出来,但我们已经用 DOMPurify 处理过了...
-
2
回答
59浏览
前端能用差分隐私保护用户行为数据吗?
我在做用户点击热力图分析,想在上报前加点噪声保护隐私,但不确定前端直接加噪声是否安全。试过在 JavaScript 里对坐标加随机偏移,但担心这样反而泄露更多信息。 比如下面这段 CSS 是用来隐藏原...
-
1
回答
40浏览
Framebuster 防点击劫持代码为啥不起作用?
我在页面里加了常见的 Framebuster 代码,但还是能被别人用 iframe 嵌套,完全没拦住,是不是写法有问题? 我试的是这种: if (window.top !== window.self)...
-
1
回答
38浏览
透明遮罩防点击劫持为啥没生效?
我在页面里加了个透明遮罩防止点击劫持,但好像没啥用,别人还是能嵌到 iframe 里点按钮。是不是我写法有问题? 试过在 body 上盖一层全屏 div,z-index 设得很高,但实际测试时发现点击...
-
2
回答
36浏览
子域名配置CORS后还是跨域,到底哪里错了?
我们主站是 example.com,API 服务部署在 api.example.com。我在后端设置了 Access-Control-Allow-Origin: https://example.com...
-
2
回答
38浏览
混淆后的代码里为什么还有 debugger 语句?
我用 webpack + terser 做了代码压缩和混淆,但打包后的 JS 里居然还能看到 debugger 语句,这不就等于给逆向的人留了断点入口吗?明明没在源码里写过这个啊。 是不是某些依赖包偷...
-
1
回答
46浏览
前端怎么正确发送 CSRF Token 到后端?
我在用 Axios 发请求时,后端要求带 CSRF Token,但我试了几次都提示验证失败。我从页面 meta 标签里读取了 token,也加到 header 里了,但好像没生效? 这是我的代码: c...
-
2
回答
38浏览
CORS配置能防CSRF吗?我是不是搞混了这两个概念?
最近在做登录功能,后端同事说要加CSRF防护,但我看网上很多人提到CORS。我就试着在Nginx里配了CORS头,比如Access-Control-Allow-Origin: https://myap...
-
1
回答
45浏览
前端能直接加密用户密码吗?怎么保证安全?
我在做登录页面,想在前端把用户输入的密码加密后再传给后端,但不确定这样做是不是真的安全。试过用 crypto-js 做 SHA256 加密,但听说这样其实没用,因为密钥或算法暴露在前端,攻击者照样能还...
-
1
回答
46浏览
前端怎么防止 Session 被劫持?Cookie 设置对了吗?
我最近在做登录功能,后端返回了 Set-Cookie 头,但我担心被 XSS 或中间人攻击偷走 Session。我看文档说要加 HttpOnly 和 Secure,但本地开发用的是 http,加了 S...
-
1
回答
42浏览
CSP 的 script-src 为啥会阻止我内联的 Vue 事件处理?
我在项目里加了 Content Security Policy,结果页面上所有 @click 之类的内联事件都不执行了,控制台报错说被 script-src 阻止。可我明明没写 <script&...
-
2
回答
50浏览
前端代码审查时如何发现XSS漏洞?
最近在做安全Code Review,看到一段动态插入HTML的代码,担心有XSS风险。比如这种: element.innerHTML = userContent; 有没有什么具体的检查点或者工具能帮我...
-
1
回答
63浏览
前端如何落实最小权限原则?
我在做后台管理系统,不同角色能看到的菜单和按钮不一样。现在是用 v-if="user.role === 'admin'" 这种方式控制显示,但感觉权限逻辑散落在各处,不好维护,而且万一漏了某个地方就可...
-
1
回答
92浏览
前端如何正确验证密码强度并实时反馈?
我在做用户注册页的密码输入,想实现实时提示密码是否符合策略(比如至少8位、含大小写字母和数字),但现在的逻辑好像不太对,输完后提示信息没更新。 我用的是React的useState来跟踪密码和错误状态...
-
2
回答
26浏览
Public-Key-Pins 头还能用吗?为什么浏览器报错?
最近在配置安全头时加了 Public-Key-Pins,结果 Chrome 控制台直接报警告说不支持了。我查了下文档有点懵,这玩意儿到底还能不能用?是不是已经被废弃了? 我之前是这么配的: Publi...
-
1
回答
43浏览
Vue项目开启标识符混淆后组件方法名被改写,怎么保留特定函数不被混淆?
我用的是 webpack + terser 做生产构建,开启了 mangle 选项后发现 Vue 组件里的 methods 方法名全被替换成 a、b、c 这种,导致从外部调用时找不到方法。比如下面这个...
-
2
回答
42浏览
前端能直接用安全多方计算保护用户隐私吗?
最近在做一个需要联合多个用户数据做统计的功能,但又不能把原始数据传到服务器。听说安全多方计算(MPC)可以解决这类问题,但我作为前端开发者,不知道能不能在浏览器里直接实现? 我试过引入一些 JS 库,...
-
1
回答
50浏览
前端做渗透测试时怎么测XSS漏洞?
我最近在学Web安全,想自己动手测下项目里的XSS漏洞。但作为前端,不太清楚具体该从哪下手,比如哪些输入点要重点检查? 我在本地试过往表单里输alert(1),但页面没弹窗,是被框架自动转义了吗?比如...
