安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
59浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在尝试启用 COEP(Cross-Origin-Embedder-Policy: require-corp)来配合 SharedArrayBuffer 使用,但设置之后发现页面里的跨域图片全挂了,控...
-
1
回答
55浏览
前端代码混淆后怎么防 DevTools 调试?
我用 Vue 写了个小项目,为了防止别人轻易看懂逻辑,用了 JavaScript 混淆工具处理了代码。但发现只要打开 DevTools,断点一打还是能一步步跟进去看变量和流程,这不就白混淆了?有没有办...
-
1
回答
31浏览
前端如何防止Cookie被劫持?
我最近在用Vue做登录功能,后端返回的session cookie好像没加安全属性,担心会被XSS或者中间人攻击偷走。试过在axios里加withCredentials,但不知道前端能不能主动设置co...
-
1
回答
41浏览
Cross-Origin-Opener-Policy 设置后为什么 window.open 无法访问新窗口?
我在项目里加了 Cross-Origin-Opener-Policy: same-origin 响应头,结果发现用 window.open 打开同域页面后,拿不到新窗口的引用了,报错说“Blocked...
-
2
回答
49浏览
控制流扁平化后代码无法正常运行怎么办?
我用 JavaScript 写了个小工具,为了防爬加了控制流扁平化混淆,结果一运行就报错,逻辑完全乱了。 试过用 obfuscator 工具,配置里开了 controlFlowFlattening: ...
-
2
回答
43浏览
前端如何处理用户同意才能加载第三方脚本?
我们网站用了 Google Analytics 和一个第三方评论插件,但 GDPR 要求必须用户明确同意后才能加载这些脚本。我试过用 document.createElement('script') ...
-
2
回答
40浏览
font-src 配置了还是报 CSP 字体加载错误?
我在项目里加了 Content Security Policy,字体文件老是被拦,明明 font-src 已经配了 cdn.jsdelivr.net,但浏览器控制台还是报错说违反策略。 我用的是 We...
-
1
回答
47浏览
前端操作需要记录安全日志吗?怎么记才合规?
我们最近在做等保测评,安全团队要求所有用户敏感操作都要留痕。但我在前端用 console.log 记的日志根本传不到后端,这算合规吗? 尝试过在关键按钮点击时发个埋点请求,但不知道该记哪些字段。比如删...
-
1
回答
80浏览
Cookie 设置了 Secure 标志后本地开发无法读取,怎么办?
我在后端设置 Cookie 时加了 Secure 标志,结果本地用 http://localhost:3000 开发时前端完全拿不到这个 Cookie,控制台也看不到。但线上 HTTPS 环境又没问题...
-
2
回答
39浏览
Token过期后如何自动刷新并重试请求?
我在用React做登录功能,接口返回401时想自动刷新token再重试原请求,但不知道怎么优雅地处理。试过在拦截器里刷新,但遇到多个请求同时过期时会重复刷新。 现在代码大概是这样: const api...
-
1
回答
48浏览
前端怎么安全地验证用户输入的URL参数?
我正在做一个带分享功能的页面,URL里会带一个 redirect 参数,比如 ?redirect=https://example.com。但直接拿这个参数跳转感觉不安全,怕被用来做钓鱼或者 XSS。我...
-
1
回答
46浏览
CORS配置到底该怎么写才安全?
我在本地开发时调后端接口老是被CORS拦住,试过在Nginx里加add_header 'Access-Control-Allow-Origin' '*';,虽然能通了,但听说这样不安全。那到底应该怎么...
-
1
回答
52浏览
前端用公钥加密数据后端却解密失败,是哪里出错了?
我在 React 项目里尝试用 jsencrypt 做公钥加密,把密码传给后端,但后端(Java)一直报解密失败。我确认公钥是匹配的,也试过 Base64 编码,但还是不行。 下面是我加密的代码: i...
-
1
回答
41浏览
前端设置Cookie时如何确保安全策略正确生效?
最近在用Vue做登录功能,后端返回了Set-Cookie头,但我发现浏览器里存的Cookie没有HttpOnly和Secure标志,担心有XSS风险。我试过在axios请求里加withCredenti...
-
2
回答
70浏览
前端做XSS输入过滤到底该在哪儿处理?
我最近在用 Vue 写一个评论功能,用户输入的内容会直接渲染到页面上。我知道要防 XSS,但不确定是在输入时就过滤掉危险字符,还是在渲染时转义?试过在提交前用正则替换 script 标签,但好像还是能...
-
1
回答
51浏览
前端做CSRF防护时,Session绑定到底该怎么配合样式写?
我最近在给登录表单加CSRF防护,后端说要用Session绑定token,但我搞不清前端怎么配合。我试过把token塞进hidden input,但样式这块有点懵——比如下面这段CSS是不是会影响表单...
-
2
回答
32浏览
前端如何配合实现用户的“被遗忘权”删除请求?
我们有个用户数据管理后台,现在要支持 GDPR 的“被遗忘权”,用户申请删除账号后,除了后端清数据,前端这边是不是也得做些处理?比如清除本地存储、取消订阅之类的。 我试过在注销时加这段清理逻辑: lo...
-
1
回答
64浏览
白盒测试时如何判断CSS会不会引发安全问题?
最近在做Web安全的白盒测试,看到项目里有一段动态生成的CSS,担心会不会有XSS风险。虽然CSS本身不能执行JS,但听说某些属性比如url()或者@import可能被利用,是不是真的? 比如下面这段...
-
2
回答
43浏览
PBKDF2在前端加密密码真的安全吗?
我在做用户注册功能,看到后端用PBKDF2加盐哈希存密码。但我想在前端也先加密一次再传给后端,这样更安全吧? 可我试了用Web Crypto API的crypto.subtle.deriveKey,结...
-
2
回答
46浏览
前端代码审查时如何判断CSS是否存在安全风险?
最近在做Web安全Code Review,看到团队有人写了下面这段CSS,我不确定会不会有安全隐患。CSS一般不执行逻辑,但听说某些写法可能被用来做信息探测或者配合XSS攻击? .user-card ...
