本话题发布前端安全策略相关的博客文章和技术分享,将持续更新,为您推荐了9篇博客,访问即可查看更多精彩内容。
-
项目背景和敏感信息问题的由来 最近做了一个电商后台管理系统,涉及到订单、用户数据的管理。开始觉得不就是个普通的 CRUD 项目嘛,结果上线后发现敏感信息泄露的问题挺严重的。用户的手机号、地址这些隐私数...
-
直接上手:CSP的基本用法 最近在项目里折腾了一下CSP(Content Security Policy),说真的,这玩意刚开始接触还挺让人头疼的。不过现在回过头看,其实核心就那么几个关键点。我先给你...
-
又踩坑了,登录态跨不过去 上周上线前最后一天,本来以为稳了,结果测试同事甩过来一句话:你在 jztheme.com 登录完,跳到另一个子域名页面,直接 401 了。我当场一愣——这不应该是自动带 Co...
-
又踩坑了,登录态莫名其妙丢了 今天早上刚到公司,泡好咖啡准备摸鱼,结果测试群里一条消息炸了:用户登着登着突然跳登录页了。我第一反应是后端接口抽风,查了下日志发现 session 没过期,token 也...
-
又踩坑了,CSP 的 default-src 让我静态资源全挂了 上周上线一个新项目,本地跑得好好的,一部署到测试环境,页面直接白屏。F12 一看,控制台全是红的:Refused to load th...
-
本地开发调接口又报 CORS 错了,这次真不是后端的锅 今天本地跑一个新项目,前端用 Vite,后端 API 部署在测试环境。一调接口就报错: Access to fetch at 'https://...
-
我的写法,亲测靠谱 在前后端分离的项目里,跨域请求太常见了。我早期总以为只要后端加个 Access-Control-Allow-Origin: * 就万事大吉,结果一加上自定义 header,比如 X...
-
先看效果,再看代码 今天咱们来聊聊第三方Cookie。这个东西在日常开发中挺常见的,尤其是在处理广告、分析和跟踪时。废话不多说,直接上代码。 核心代码就这几行 假设我们有一个简单的网页,想要在页面加载...
-
为什么我要对比这几个方案 在前端开发中,Cookie跨域一直是个让人头疼的问题。每次遇到这种需求,我总是得琢磨半天,到底用哪种方案比较好。今天我就来对比一下几种常见的方案,希望能帮到你。 谁更灵活?谁...
