安全

深耕开发安全领域，解析 XSS/CSRF 等常见漏洞、攻防实战与合规实践，守护应用与数据安全防线。

迷人的琬晴

block-all-mixed-content 实战指南：解决混合内容的安全难题

直接说结论：我一般用 CSP 配合 HSTS，简单粗暴先说结论吧。关于 mixed content 的问题，也就是 HTTPS 页面里偷偷加载了 HTTP 资源，我一直觉得这玩意儿挺危险的——比如你...

安全阅读 1,544
怡企 Dev

一次搞懂存储过程的高效编写与性能优化

项目初期的技术选型这个系统是个后台数据统计平台，主要用来跑一些复杂的用户行为分析。前端是 Vue，后端是 Node.js，数据库用的是 MySQL。本来一开始我打算把所有逻辑都放在后端服务里，毕竟写...

安全阅读 2,500
统维酱~

如何安全存储和使用API Secret的实战经验分享

先看代码，再扯别的我最近在搞一个前端项目，需要调用第三方地图 API，结果一上来就卡住了——API Secret 怎么处理？直接写进代码里？那不是谁扒开浏览器 DevTools 都能偷走？可不写进去...

安全阅读 1,149
百里利芹

前端密码过期问题的实战解决方案与避坑指南

先看代码，再扯别的上周上线前一小时，测试小姐姐甩给我一个 bug：“密码明明没过期，为啥一直弹修改密码的框？” 我当场就懵了。查了半天后端接口、用户状态字段，最后发现是前端缓存了登录时间，自己算了个...

安全阅读 2,130
书瑜 Dev

权限刷新机制的设计与实战优化技巧

我的写法，亲测靠谱权限刷新这事，说白了就是用户在页面上操作时，突然发现按钮点不了、菜单看不到了，或者数据接口403了——这时候你得让用户无感地重新拿一下权限配置，而不是直接弹个登录框把人踢出去。我一...

安全阅读 1,022
极客彩云

前端密码加密实战：从原理到安全存储的完整解决方案

密码加密方案，我为啥现在只用 Argon2 先说结论：我现在新项目一律上 Argon2，老项目能迁就迁。bcrypt 也还行，但已经不够看了。至于那些还在用 SHA-1 拼盐的，真的别闹了。其实我也...

安全阅读 2,551
南宫婷婷

前端鉴权机制实战总结 JWT和Session的最佳实践选择

前端鉴权方案对比：我常用的几种方式都有啥坑最近在重构一个老项目的鉴权系统，顺便把之前用过的几种前端鉴权方案梳理了一下。说实话，每种方案都有各自的适用场景，但也有不少坑要踩。今天就来分享一下我实际开发...

安全阅读 3,008
西门浚博

前端自检神器Self检测的实战应用与踩坑总结

Self检测，我一般选这种方式之前做安全防护的时候遇到Self检测的需求，查了不少资料发现方案还挺多的。说实话，刚开始我也搞不清哪种方式更好，折腾了好几个小时才把各个方案摸透。现在回过头看，其实几种...

安全阅读 2,593
诸葛志远

X-Frame-Options安全策略配置踩坑记

我的写法，亲测靠谱说实话，X-Frame-Options这个东西我在实际项目中用得不算频繁，但每次用都是为了堵安全漏洞。最常见的就是防止点击劫持（Clickjacking），这玩意儿真的不能掉以轻心...

安全阅读 624
♫小汐

Access-Control-Allow-Methods配置踩坑记那些年被跨域请求方法困扰的日子

Access-Control-Allow-Methods被搞砸了今天又被跨域问题给折腾得够呛，这次是Access-Control-Allow-Methods相关的。本来以为这种问题早就不是事儿了，结...

安全阅读 590
超霞

X-Permitted-Cross-Domain-Policies 头部配置踩坑实录

为啥要对比这几个方案？最近在做安全策略配置的时候，被X-Permitted-Cross-Domain-Policies这个HTTP头部搞得有点懵。说实话，之前都是直接复制现成配置，没仔细研究过不同策...

安全阅读 1,046
Code°文瑞

SameSite属性踩坑记一次搞懂跨站请求的安全边界

我的写法，亲测靠谱说实话，SameSite这个东西刚出来的时候我也挺懵的，各种属性值看得眼花缭乱。现在做了这么多年，算是摸清楚了其中的门道。我现在的做法很简单粗暴：大部分情况下都用 Strict，只...

安全阅读 1,352
东方素香

X-Frame-Options防盗链配置踩坑记一次搞懂iframe安全防护

那个被忽视的安全头，差点出大事最近在做一个企业级后台管理系统，安全审计的时候才发现我们完全没有考虑点击劫持防护。当时项目经理专门提了这事，说要防止页面被iframe嵌套攻击。说实话，之前做项目的时候...

安全阅读 2,207
IT人晶晶

HttpOnly标志详解：防止XSS攻击的关键防护措施

为什么我要专门写这篇文章？说实话，HttpOnly这个东西我用了好几年，但一直没真正搞明白各种设置方式的差别。最近在一个项目里遇到了cookie安全的问题，才意识到自己之前只是照葫芦画瓢，根本没理解...

安全阅读 561
长孙晴文

CryptoJS加密库在前端项目中的实战应用与常见陷阱

优化前：卡得不行最近在做一个数据加密的功能，用户上传Excel文件需要先加密再传输。本来以为CryptoJS挺简单的，结果一测试就傻眼了，加密一个几十MB的文件，浏览器直接卡死了，CPU占用飙升到9...

安全阅读 1,453
极客成娟

RBAC权限系统实战踩坑记：从设计到落地的完整方案

这次终于搞定了权限控制的那些破事最近做后台管理系统，权限控制这块儿又把我折腾得够呛。之前做过几个项目，每次都是临时抱佛脚，这次想着彻底把RBAC这套东西摸透，免得以后还要花时间重新搞。最开始想当然...

安全阅读 974
♫欢欢

前端请求加密实战踩坑总结

核心加密方案，直接上手就能用最近项目里需要对接第三方API，对方要求所有请求都得加密传输。说实话，这块技术之前接触不多，但真搞起来其实也就那回事。今天把整个流程记录下来，主要针对实际应用场景。我用...

安全阅读 925
春红~

前端安全工具选型与实践指南从XSS防护到CSRF防御的完整解决方案

项目初期的技术选型最近做的一个企业级项目，安全要求特别高，客户那边专门提了各种安全检测工具的需求。说实在的，刚开始我还挺抵触的，觉得这些安全工具就是给开发增加负担，但后来发现确实有必要。项目是个内...

安全阅读 670
Newb.誉琳

HttpOnly标志详解从安全防护到实际应用的完整指南

优化前：卡得不行最近接手了一个老项目的安全优化任务，说白了就是修复各种安全漏洞。其中最让我头疼的是XSS攻击防护这块。之前系统完全没考虑HttpOnly标志，所有的cookie都是普通的sessio...

安全阅读 2,681
上官静欣

W3af安全测试工具实战踩坑指南及核心功能解析

为什么突然要研究W3af？最近做安全测试的时候，团队里有人提到了W3af这个工具。说实话，我之前主要用Burp Suite和OWASP ZAP，对W3af了解不多。但既然同事推荐了，就想着对比一下看...

安全阅读 2,240