安全

最近在做跨域文件上传时遇到个问题：前端用fetch发送POST请求带了multipart/form-data格式和自定义头X-File-Hash，但预检OPTIONS请求一直返回403。服务器日志显示...

我在Vue项目里用axios请求后端接口时，浏览器一直报CORS错误。明明后端同事说已经配置了headers，但页面还是显示“No 'Access-control-allow-origin'头”。 我...

我在做前端静默刷新访问令牌时遇到个问题，当用户快速切换页面时，多个定时器同时触发导致重复发送了refresh_token请求。比如这样写的： let refreshTimeout; function ...

在开发用户注册表单时，需要收集姓名和电话号码这些PII信息。我用useState保存输入值，提交时通过fetch发送到后端，但担心前端存储和传输过程中的数据泄露风险。虽然用了HTTPS，但直接存储在s...

我给网站配置了Public-Key-Pins头，参考了文档写死了当前证书和备用密钥的pin值，但访问时Chrome还是提示“证书无效”。明明证书指纹和includeSubDomains参数都对，是不是...

我在用JavaScript的代码混淆工具处理一段代码时遇到问题。混淆后的函数名都变成了标签？

我在nginx里加了X-Content-Type-Options: nosniff，但用开发者工具看响应头时根本找不到这个字段，明明其他自定义头都显示了，是不是配置位置有问题？ 尝试过把代码写在ser...

我在做用户登录功能时发现一个问题，用JavaScript拼接SQL语句时虽然用了参数化查询，但后端返回的错误信息里会暴露数据库表结构： const query = <code>SELECT...

我在给项目配置CSP时遇到了奇怪的问题。设置了后页面报错： <!DOCTYPE html> <html> <head> <meta http-equiv="C...

我在给登录接口加HMAC签名验证时遇到了问题。按照文档用CryptoJS生成签名，把时间戳和参数按字母排序后拼接，但服务端一直返回"签名无效"。试过确认密钥和算法都正确，连请求头的Content-Ty...

我在做一个聊天功能时用Vue实现端到端加密，按照文档用Web Crypto的subtle加密了消息内容，但服务端返回"无法解密"的错误。试过把加密结果转成Base64，但后端说数据格式不对。 这是我的...

在React项目里处理用户提交的留言内容时，发现如果用户输入类似javascript:alert(1)这样的内容，直接渲染后居然真的会执行脚本。虽然用了DOMPurify清理和转义特殊字符，但测试输入...

我在前端用JavaScript调用Argon2对用户密码进行哈希处理，然后通过fetch发送到后端，但一直报错“Blocked by CORS policy: No 'Access-Control-A...

我在项目里用Google字体时遇到了CSP报错，明明在HTTP头里写了font-src fonts.gstatic.com，但控制台还是提示“Blocked loading font”... 这是我的...

在Vue组件里嵌入第三方iframe时，按照文档写了Self检测逻辑，但点击完全没反应，Self检测好像没生效，哪里出问题了？ 我的组件结构是这样的，用iframe引用了支付页面： <templ...

我给服务器配置了cross-origin-resource-policy: same-site，但跨域加载图片时还是出现这个错误：Blocked by Cross-Origin Resource Po...

最近在做论坛项目时，用innerHTML动态显示用户提交的评论内容，结果被测试工具提示存在XSS漏洞。我尝试过滤了输入里的尖括号和script关键字，但漏洞检测还是报错，这是为什么呢？ 代码是这样的：...

大家好，我在做用户组权限样式区分时遇到个问题。现在有管理员、普通用户、访客三个用户组，需要给按钮显示不同样式： .user-btn { background: #ccc; } .admin .user...

在部署项目时发现yarn.lock文件损坏了，我删掉后重新运行yarn install，但新生成的yarn.lock里好多依赖版本都变了，这会不会引入安全漏洞？ 之前用npm audit发现有个高危漏...

我现在在做用户管理页面，不同角色需要看到的表格列不一样。比如普通用户只能看姓名和邮箱，管理员还能看到创建时间和角色列。尝试用条件渲染写成这样： function UserTable({ users, ...