安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
43浏览
点击劫持防护中如何正确检测页面是否被嵌入iframe?
我在做点击劫持防护,看到可以用 top !== self 来判断是否被嵌套,但实际测试时发现有些情况下这个判断不生效,比如在同域 iframe 里。我试了下面这段代码,但好像还是会被绕过? <s...
-
2
回答
59浏览
GitHub提示我的CSS依赖有安全漏洞,但代码很简单怎么办?
我在项目里只用了一小段自定义CSS,结果GitHub Dependabot突然报了个高危漏洞,说和css-loader有关。可我根本没装这个包啊,是不是误报? 这是我的CSS代码: .btn-prim...
-
2
回答
33浏览
前端用 SHA-256 加密用户密码真的安全吗?
我最近在做一个登录页面,想在前端用 SHA-256 对用户密码做哈希后再传给后端,但听说这样其实不安全? 我试了用 Web Crypto API 做哈希,代码大概长这样: async function...
-
2
回答
50浏览
CryptoJS加密结果每次都不一样,怎么回事?
我在用 CryptoJS 做 AES 加密,但发现每次对相同明文加密出来的结果都不同,这让我没法做数据比对。明明密钥和 IV 都是固定的,按理说应该输出一致才对啊? 我试过这样写: const key...
-
1
回答
28浏览
动态权限控制下如何安全隐藏敏感按钮?
我在做后台管理系统,用户登录后根据角色动态渲染菜单和按钮。现在用 v-if 判断权限,但发现通过浏览器开发者工具还是能手动把按钮显示出来,这有安全隐患吧? 比如下面这段 CSS,我原本想用 displ...
-
2
回答
79浏览
xss库过滤后内容变空白是怎么回事?
我用 xss 库对用户输入做过滤,但有些内容直接变成空字符串了,比如输入 alert(1) 确实该被清掉,但像 test 这种,为啥连 "test" 都没了? 我试过默认配置和自定义白名单,还是不行。...
-
2
回答
28浏览
前端角色权限控制怎么做到动态渲染菜单?
我正在用 React 做一个后台系统,不同角色看到的菜单不一样。现在我把用户角色存在 localStorage 里,但每次切换角色都要刷新页面才能生效,体验很差。有没有办法在不刷新的情况下动态更新菜单...
-
2
回答
53浏览
前端请求被IP白名单拦截了怎么办?
我们后端接口加了IP白名单,只允许服务器IP访问,但我本地开发时调接口直接403。试过用proxy代理到后端地址也不行,因为最终请求还是从我本机发出的,IP没变。这该怎么解决啊? 现在每次改完代码都得...
-
1
回答
32浏览
前端做渗透测试时怎么判断XSS漏洞是否真实存在?
我们团队最近在做安全审计,用 Burp Suite 扫描出一个反射型 XSS,但我不确定是不是误报。页面上用户输入的内容确实会回显,但我加了 encodeURIComponent 处理,按理说应该安全...
-
1
回答
63浏览
前端代码混淆后怎么防止别人调试绕过?
我用 webpack 打包时加了 Terser 做了代码压缩和变量名混淆,但发现别人在 DevTools 里打个断点或者格式化一下,逻辑还是能看懂。试过加 debugger 反调试,结果一刷新就卡死,...
-
1
回答
104浏览
前端请求被IPS拦截了怎么办?
最近在开发一个Vue项目,调用后端接口时总是返回403,运维说是因为IPS检测到“可疑行为”给拦了。但我只是正常发了个POST请求,参数也没啥特别的,这咋排查啊? 我试过把请求体简化成最基础的数据,还...
-
1
回答
136浏览
Token过期后怎么自动刷新还不让用户感知?
我在用 JWT 做用户认证,前端每次请求都带 Authorization: Bearer xxx。但 token 一小时就过期,过期后接口返回 401,用户就得重新登录,体验太差了。 我看别人说可以用...
-
1
回答
37浏览
OWASP ZAP 扫描时为什么总报 CSRF 漏洞?
我在用 OWASP ZAP 扫描一个内部管理后台,每次扫描都提示存在 CSRF 漏洞,但我前端已经加了 X-CSRF-Token 请求头,后端也做了校验,为啥还会报? 尝试过在 ZAP 的“上下文”里...
-
1
回答
51浏览
前端如何安全地处理多因素认证的验证码输入?
我正在开发一个需要多因素认证(MFA)的登录流程,后端用的是 TOTP 方式。现在前端要让用户输入 6 位验证码,但我不确定怎么处理才安全。比如,能不能把验证码存在 localStorage 里临时缓...
-
1
回答
35浏览
前端开发中如何通过安全培训避免CSS注入风险?
最近公司开始推行安全开发生命周期(SDL),要求我们前端也参加安全培训。但我有点困惑:CSS 也会有安全问题吗?我之前写过类似下面的动态样式,会不会有风险? .user-theme { backgro...
-
2
回答
72浏览
用户拒绝 Cookie 后,前端如何安全地处理后续请求?
我最近在做 GDPR 合规改造,用户第一次访问时弹出同意横幅,如果点了“拒绝所有”,我就不会写任何非必要 Cookie。但问题来了:有些 API 请求(比如用户行为埋点)依赖后端读取某些标识,现在因为...
-
1
回答
48浏览
安全培训中如何避免React里的XSS漏洞?
最近公司搞安全开发生命周期培训,提到前端也要防XSS。我在用React写一个动态渲染用户输入内容的功能,但不确定这样写会不会有风险。 我试过直接用{userInput}插值,但听说dangerousl...
-
1
回答
58浏览
后端鉴权返回403,前端怎么统一处理权限不足的情况?
我在做后台管理系统,接口权限由后端控制。当用户没权限时,后端直接返回403状态码。现在每个请求都要单独判断是不是403,太麻烦了,有没有办法全局拦截并统一跳转到无权限页面? 我试过在 axios 的响...
-
1
回答
27浏览
灰盒测试时如何验证Vue组件中的API调用是否安全?
我在做灰盒测试,手上有部分源码和访问权限,但不确定该怎么检查Vue组件里调用的后端接口有没有安全风险。比如下面这个组件直接把用户输入拼接到URL里发请求,会不会有漏洞? <template>...
-
1
回答
42浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在项目里加了 Cross-Origin-Embedder-Policy: require-corp 这个安全头,结果页面上用 <img> 标签加载的第三方图片全挂了,控制台报错说需要 C...
