安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
31浏览
Vue项目CSRF防护时验证请求头总失败怎么办?
我在Vue项目里用axios发请求时设置了X-CSRF-Token头,但后端一直返回403错误。之前在登录接口成功获取到token并存到cookie里了,代码是这样的: <script> ...
-
1
回答
29浏览
CSRF防护中,为什么我的前端生成的Token无法被后端正确验证?
我按照教程给表单请求加了CSRF防护,前端用UUID生成token存到cookie和隐藏字段里,但后端验证时总提示不匹配。明明都按文档做了,但验证还是失败,哪里出问题了? 前端代码这样写的: // 生...
-
2
回答
111浏览
SAST扫描提示CSS中的URL()函数存在安全风险怎么办?
在项目中给背景图用了CDN链接写法,结果SAST扫描报高危漏洞,说url()函数可能引发XXE或路径遍历,但实际代码明明是静态引用啊... 代码是这样的:.background { backgroun...
-
2
回答
27浏览
如何在用户点击同意按钮后自动勾选复选框并持久化存储状态?
我在做隐私政策页面时遇到问题,用户需要先勾选同意复选框才能继续注册。但实际测试发现,当用户点击"我同意"按钮后,虽然能跳转到注册页,但复选框状态没有被记录下来,刷新页面又变回未选中状态。 我尝试用Lo...
-
2
回答
29浏览
灰盒测试时怎么发现后端API的输入验证漏洞?
最近在测试公司内部系统的灰盒安全,遇到个问题:我拿到后端API的接口文档,但不确定参数验证是否完善。比如有个用户注册接口,文档说username是必填项,但当我用Postman把username改成特...
-
2
回答
109浏览
CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。 尝试过在每次请求前手动调用API刷新Token,但...
-
2
回答
21浏览
Vue项目中根据角色动态加载路由权限时为什么某些菜单还是能访问?
我在做权限控制时,根据后端返回的角色动态过滤路由,但测试发现没有对应权限的角色依然能通过URL直接访问页面。比如普通用户本该看不到的「系统管理」菜单,输入路径后居然能跳转。 尝试过在路由配置里给每个路...
-
2
回答
55浏览
如何防止生产环境JS代码被篡改导致中间人攻击?
最近在做项目安全加固时发现,线上环境的JavaScript文件可能被中间人篡改。我们用Webpack打包部署到Nginx服务器,但测试时发现有人能修改返回的JS代码添加恶意脚本。之前尝试过设置CSP头...
-
1
回答
42浏览
Forge.js导出RSA私钥pem格式总是无效怎么办?
我在用Forge.js生成RSA密钥对时,按照文档导出的pem格式总是被其他工具报错。明明参数都对,但生成的私钥文件好像格式不对。 我这样写的代码: const forge = require('no...
-
2
回答
35浏览
SameSite=None; Secure设置了,但跨域请求还是丢失Cookie怎么办?
我在开发一个单页应用时,给Cookie设置了SameSite=None; Secure,但跨域请求到后端API时Cookie还是没带上,这是为什么啊? 场景是这样的:前端用Vue跑在https://s...
-
2
回答
33浏览
前端如何有效过滤输入框中的特殊字符防止XSS攻击?
我在做登录表单时发现,用户可以通过输入框发送类似;alert(1)的恶意代码。尝试用正则表达式过滤,但发现当用户快速输入时,分号还是能通过。还试过在CSS里加了这段样式: input { /* 尝试用...
-
1
回答
165浏览
前端如何防止频繁登录尝试导致的密码暴力破解?
我现在在做登录功能的安全防护,想限制用户频繁提交密码。之前尝试用前端倒计时禁用提交按钮:setDisabled(true),但用户直接刷新页面就能继续尝试,这样根本没效果。 后端同事说他们已经做了失败...
-
2
回答
50浏览
控制流扁平化后断点怎么都失效了?
我在给前端代码做混淆时用了控制流扁平化,结果调试时发现所有断点都失效了。比如原本在handleClick函数里的断点直接跳过了,代码逻辑被拆成一堆没命名的函数调用。 试过调整工具配置把关键函数排除,但...
-
1
回答
14浏览
Vue表单提交时如何同时实现CSRF防护和验证码验证?
在开发登录表单时,我需要同时处理CSRF防护和验证码验证。现在遇到的问题是:当用户刷新验证码时,CSRF令牌没有同步更新,导致表单提交时后端返回验证失败。我尝试在获取验证码接口里携带CSRF令牌,但发...
-
1
回答
15浏览
Vue组件日志记录时怎么避免敏感信息泄露?
我在做登录功能的安全审计时发现,组件里用console.log直接输出了用户提交的表单数据,这样密码会被记录在日志里。尝试过手动删密码字段,但感觉不够优雅。有没有更好的过滤方法?比如在下面这个表单提交...
-
1
回答
27浏览
设置了X-XSS-Protection头后页面样式全乱了怎么办?
我在HTML里加了,但页面布局突然错乱了,特别是用了Tailwind的组件。查文档说这个头是防御XSS的,但按示例配置后连开发工具都看不出样式错哪儿了。 <!DOCTYPE html> &...
-
2
回答
25浏览
为什么我的Strict-Transport-Security头没有生效?
我在Nginx配置里加了Strict-Transport-Security: max-age=31536000;,但用在线工具检查发现这个头信息没出现。重启服务后还是没效果,配置文件放在server块...
-
2
回答
58浏览
URL参数过滤时如何防止XSS攻击绕过?
我在做用户分享链接功能时发现,用户输入的URL参数如果包含alert(1)会被正确拦截,但换成大写或者加注释就能绕过了,该怎么改进过滤逻辑呢? 尝试过用正则/<script>/i匹配标签,...
-
2
回答
58浏览
错误处理时如何避免泄露SQL注入漏洞细节?
我在做登录接口时发现,当用户输入特殊符号触发SQL注入防护,后端返回的错误信息里包含了表名和列名。比如输入username=' OR 1=1时,错误提示显示Unknown column 'userna...
-
2
回答
55浏览
设置了X-Content-Type-Options头为什么还是有类型嗅探提示?
我在Express服务器里设置了X-Content-Type-Options: nosniff,但访问静态文件时Chrome还是显示「启用内嵌 MIME 类型嗅探」的警告。用开发者工具检查响应头确实有...
