安全
深耕开发安全场景,解答漏洞排查、攻防实战与合规落地中的各类安全疑问。
-
1
回答
26浏览
Cookie 的 Max-Age 设置为 0 真的能立即删除吗?
我在做登录登出功能时,想用设置 Max-Age=0 来清除 Cookie,但发现浏览器里 Cookie 还在,是不是我理解错了? 后端返回的 Set-Cookie 头是这样写的: Set-Cookie...
-
2
回答
25浏览
前端请求响应加密怎么做才安全?
我最近在做登录接口,后端要求所有请求和响应都要加密,但我试了 AES 加密后发现密钥放前端根本藏不住,这不等于白加密吗? 我看到有些项目用 HTTPS 就行了,但后端坚持要应用层再加密一层。有没有既安...
-
2
回答
106浏览
前端项目里怎么用Fuzzing测试输入框的安全性?
我最近在学安全开发生命周期,看到Fuzzing能用来测输入漏洞,但不太清楚前端怎么实际用。比如一个用户注册页面的邮箱输入框,我想自动喂各种奇怪字符串看会不会出问题,该怎么做? 试过手动复制一些payl...
-
1
回答
35浏览
React项目混淆后接口请求失败是怎么回事?
我用 webpack + terser 对 React 项目做了 JS 混淆,结果上线后发现调用接口报错了。本地没混淆时一切正常,混淆后某些请求参数好像被改掉了? 比如下面这个组件里的 fetch 请...
-
1
回答
39浏览
前端能对 Cookie 进行加密吗?
我最近在做登录功能,后端返回的 token 存在 Cookie 里,但听说 Cookie 容易被窃取,想自己加密一下。可是前端加密真的有用吗?比如用 CryptoJS.AES.encrypt 加密后再...
-
2
回答
32浏览
OpenID Connect 登录后如何在 Vue 中安全存储 ID Token?
我用 OpenID Connect 接入了公司的统一认证,登录成功后拿到了 ID Token,但不确定该存 localStorage 还是 sessionStorage,听说都有安全风险? 现在我是这...
-
2
回答
19浏览
Terser 混淆后为什么我的 HTML 内联脚本失效了?
我用 Terser 打包压缩 JS 时,发现页面里一段内联脚本不执行了,但外链 JS 没问题。是不是混淆把某些变量名改掉了? 这段内联脚本是用来初始化全局配置的,结构大概像这样: <script...
-
2
回答
32浏览
前端存 Access Token 到底该用 localStorage 还是 cookie?
最近在做登录功能,后端返回了 Access Token,但我不确定该存在哪。听说 localStorage 容易被 XSS 攻击,但用 cookie 又怕 CSRF,到底怎么选才安全? 我试过把 to...
-
1
回答
40浏览
前端请求被IPS拦截,怎么排查和绕过?
我们线上 Vue 项目最近频繁出现接口请求失败,运维说是因为 IPS 检测到“可疑行为”给拦了。但我只是正常发个 POST 请求带点用户输入,为啥会被当成攻击?试过对参数 encodeURICompo...
-
1
回答
28浏览
CSP报告为啥没触发?我的report-uri配置有问题吗?
我在 React 项目里加了 Content-Security-Policy,想测试下 report-uri 能不能收到违规上报。本地 dev server 启动后故意引入了个 inline scri...
-
1
回答
31浏览
CryptoJS 加密结果每次都不一样,怎么回事?
我用 CryptoJS 做 AES 加密,明明传入相同的 key 和明文,但每次加密出来的结果都不同,这让我没法做一致性校验。是不是哪里配置错了? 我用的是默认的 AES 加密方式,代码大概长这样: ...
-
1
回答
40浏览
死代码注入混淆后怎么避免影响实际功能?
我用 webpack 加了个混淆插件,开启了死代码注入,结果页面有些按钮点击没反应了。是不是注入的无效逻辑干扰了真实代码? 比如下面这种混淆后的代码,明显多了很多无用分支: function hand...
-
2
回答
80浏览
前端代码混淆后怎么防调试?控制台一打就崩了
我最近在搞一个付费的H5小游戏,为了防止别人直接扒代码,用了webpack加了Terser做混淆,还加了点反调试的代码。但上线后发现,只要用户打开DevTools,页面就直接白屏或者卡死,体验太差了。...
-
1
回答
40浏览
前端项目做漏洞扫描时误报太多怎么办?
最近用 OWASP ZAP 扫我们 React 项目,扫出来一堆“跨站脚本”高危漏洞,但点进去看都是像 /api/user?id=123 这种正常接口,根本没渲染到页面上。我试过加 CSP 头、转义输...
-
1
回答
49浏览
前端用代理解决CORS问题,为什么本地开发可以线上却不行?
我在本地开发时用 Vite 的 proxy 配置成功绕过了 CORS,接口能正常调用。但部署到线上后,请求还是被浏览器拦了,报错 CORS header 'Access-Control-Allow-O...
-
1
回答
64浏览
前端如何在表单中只收集必要用户信息?
我最近在做一个用户注册页面,产品经理说要遵循数据最小化原则,但我有点拿不准到底该收哪些字段。比如手机号、邮箱、昵称这些是必须的吗?还是说可以只让用户填邮箱就行? 现在表单里有这些字段:<inpu...
-
2
回答
48浏览
第三方Cookie被浏览器拦截了怎么办?
我在做嵌入式Widget开发,主站A要嵌入到第三方网站B的iframe里,需要读取之前在A站设置的Cookie来识别用户。但最近Chrome和Safari直接不发这个Cookie了,导致用户状态丢失。...
-
1
回答
29浏览
点击劫持防护中如何正确实现用户交互确认?
我在做安全加固时,想防止点击劫持,听说需要用户主动交互才能执行敏感操作。但我试了下,在 React 里加了个确认弹窗,结果还是被测试工具绕过了,是不是我理解错了? 比如下面这个删除按钮,点完还要 co...
-
1
回答
40浏览
npm audit 修复后为什么还有高危漏洞?
我刚跑完 npm audit fix,结果提示“fixed 5 of 12 vulnerabilities”,但剩下的 7 个还是高危。我查了下,有些是间接依赖,比如通过某个 UI 库引入的旧版 lo...
-
2
回答
35浏览
前端如何正确处理用户输入防止XSS攻击?
我在做一个评论功能,用户提交的内容要显示在页面上,但担心XSS漏洞。比如用户输入了alert(1),直接innerHTML就会执行,这太危险了。 我试过用DOMPurify库清理,但有些场景又需要保留...
