安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
2
回答
24浏览
CSP中的strict-dynamic有什么用?为什么我的动态脚本还是被阻止了?
我在给项目配置CSP时用了'strict-dynamic',但页面加载时动态创建的script标签还是报blocked错误。比如这样: const script = document.createEl...
-
2
回答
22浏览
Persistent Cookie设置Secure后为何还能被XSS窃取?
我在前端设置了持久化Cookie时添加了Secure; HttpOnly属性,但PenTest工具显示XSS脚本仍能读取到cookie值。测试时发现当页面存在注入点时,攻击者通过document.co...
-
1
回答
40浏览
如何在威胁建模中识别前端API的注入攻击风险?
最近在做威胁建模时发现前端调用的API可能存在注入攻击风险,但不确定该怎么具体分析。比如用第三方富文本库上传图片时,后台返回的Markdown内容直接渲染到页面,虽然加了输入过滤,但测试时发现特殊字符...
-
1
回答
25浏览
W3af扫描时自定义请求头没生效,如何排查?
最近在用W3af测试公司API,需要给所有请求加User-Agent和X-Token头。按照文档在setup.conf里设置了headers参数: headers = {"User-Agent": "...
-
2
回答
19浏览
为什么我的网站启用了CT后,浏览器还是不显示证书透明度标记?
我最近在配置网站的安全头,启用了Certificate Transparency,但发现浏览器没有显示相关标记。我检查了SSL证书,确认CT日志已经添加,但可能哪里漏了?我尝试在Nginx配置里添加了...
-
1
回答
36浏览
JWT刷新令牌应该如何设计才能避免多次请求时的重复验证?
我在做文件上传功能时发现,当用户同时上传多个文件时,每个文件请求都会带着JWT访问接口,但遇到令牌过期的情况,所有请求都会触发刷新逻辑。比如这样: axios.interceptors.respons...
-
2
回答
74浏览
W3af扫描时插件加载失败怎么办?
用w3af_console扫描目标时老是报错"Plugin not found",折腾了半天没解决。按照官方文档装了所有依赖,运行w3af_console后选择插件扫描就直接报错了。 错误提示是:Tr...
-
1
回答
235浏览
参数化查询没防住SQL注入?我的代码哪里写错了?
最近在学参数化查询防注入,但测试时发现还是能被绕过。比如在Node.js用mysql模块写这个登录验证: const query = 'SELECT * FROM users WHERE u...
-
2
回答
61浏览
Vue组件用了v-html被SAST标记XSS漏洞,但数据已经转义了该怎么办?
我在开发用户评论展示功能时,用Vue的v-html渲染经过sanitize-html过滤的内容,但SonarQube扫描还是报XSS风险。代码如下: import sanitizeHtml from ...
-
2
回答
26浏览
React里用了report-to但CSP报告没收到怎么办?
在React项目里配置了CSP的report-to指令,但一直没收到违规报告,是不是哪里写错了? 我按照文档设置了meta标签,还用.env文件存了端点: // index.js document.a...
-
1
回答
79浏览
前端用RSA加密时,私钥怎么安全传给后端不被窃取?
我在用RSA加密用户密码时遇到个难题,前端生成密钥对后,必须把私钥发给后端解密,但这样私钥不就暴露在请求里了吗?比如这段代码: const forge = require('node-forge');...
-
2
回答
54浏览
Dependabot配置后依赖没更新,Vue项目该怎么排查?
最近给Vue项目配置了Dependabot,但过去一周了都没有看到依赖更新的PR,控制台提示configuration validation failed。我检查了.github/dependabot...
-
1
回答
54浏览
如何检测前端应用中的异常XSS攻击请求?
我在开发一个用户评论系统时,用了DOMPurify过滤输入,但最近发现有用户通过javascript:alert(1)形式的链接绕过防护。尝试用黑名单过滤关键词后,攻击者改用十六进制编码的payloa...
-
1
回答
74浏览
为什么设置了Secure标志后Vue的CSRF防护还是失效?
在Vue项目里用了axios的withCredentials,按教程设置了cookie的Secure标志,但发现跨域请求还是能被拦截。明明后端返回的Set-Cookie头里有Secure参数啊,这是哪...
-
1
回答
69浏览
前端用MD5加密密码是否安全?有没有更好的加密方式?
最近在做用户注册功能时,密码加密这块有点困惑。我之前用crypto-js把密码转成MD5再存到后端,但同事说MD5早就被破解了,这样存密码不安全,但我也不太明白具体哪里有问题。 尝试改用bcrypt时...
-
2
回答
32浏览
设置了connect-src后为什么我的API请求仍然被CSP拦截?
我在页面里通过AJAX请求https://api.example.com/data时,控制台报错: "Refused to connect to 'https://api.example.com/da...
-
1
回答
17浏览
如何在前端实现用户不能重复使用最近3次密码的验证?
在做用户密码修改功能时,需要限制用户不能重复使用最近3次的密码。我用Vue写了表单验证,但不知道该怎么存储和比对历史密码: <template> <form @submit.prev...
-
2
回答
30浏览
Public-Key-Pins配置后浏览器报错,哪里出问题了?
我在本地测试环境配置了Public-Key-Pins头,但访问页面时Chrome直接显示证书错误,页面完全无法加载。之前已经按文档生成了证书的指纹,备用密钥也配置了,但还是报错: Public-Key...
-
1
回答
20浏览
React中如何验证Cookie数据未被篡改?
我在React项目里用js-cookie设置cookie,但不确定怎么防止别人篡改内容?比如这个登录token: import Cookies from 'js-cookie'; ...
-
2
回答
26浏览
单页应用中CSRF Token自动刷新导致表单提交失败怎么办?
我在开发Vue应用时遇到了CSRF防护问题,前端用了axios拦截器在每次请求带上CSRF token,但后端要求token每小时必须刷新。我尝试在axios的响应拦截器里检测403错误后自动调用刷新...
