安全

深耕开发安全领域，解析 XSS/CSRF 等常见漏洞、攻防实战与合规实践，守护应用与数据安全防线。

UE丶玉卿

Mongoose实战指南：从基础用法到高级查询优化技巧

又踩坑了，Mongoose 的默认值居然没生效？上周改一个老项目，加了个新字段 isPublished，类型是 Boolean，默认值设成 false。结果测试的时候发现，有些文档里这个字段压根没有...

安全阅读 1,639
程序猿雯雯

供应链安全实战：从依赖管理到构建防护的完整方案

又踩坑了，npm install 之后项目被悄悄植入后门上周五下午，我正准备上线一个新功能，本地跑 npm install 装完依赖，顺手点了个构建，结果 CI 报错说打包体积暴涨了 300KB。我...

安全阅读 2,109
焕焕 Dev

CSP frame-ancestors 防嵌套实战指南与常见坑点解析

直接上代码，这才是 CSP frame-ancestors 的正确打开方式上周上线一个内嵌页面，被安全团队卡住了：「你们这个页面能被任意网站 iframe 嵌入，有点击劫持风险，必须加 frame-...

安全阅读 2,604
Newb.庆玲

XSS库实战指南：防御与绕过技巧全解析

先看效果，再看代码上周上线一个用户评论功能，结果 QA 一测就炸了：有人在评论里贴了段 <script>alert(1)</script>，页面直接弹窗。我赶紧翻了下代码，发...

安全阅读 2,374
司空克培

深入解析 CSP 中 default-src 的作用与实战配置技巧

又踩坑了，CSP 的 default-src 让我静态资源全挂了上周上线一个新项目，本地跑得好好的，一部署到测试环境，页面直接白屏。F12 一看，控制台全是红的：Refused to load th...

安全阅读 2,216
博主慧玲

安全编码实战：避开常见漏洞的实用开发技巧

前端安全编码，我到底该用哪个方案？最近在重构一个老项目，突然被安全团队扫出一堆 XSS 漏洞，主要是用户输入内容没做转义就直接插进 DOM。这事儿说大不大，说小不小，但真要线上出事，背锅的还是我们前...

安全阅读 2,024
百里翌耀

Snyk实战：自动化检测与修复项目中的安全漏洞

优化前：卡得不行上周我接手一个老项目，里面集成了 Snyk 的漏洞扫描功能。本来以为就是调个 API、展示点数据，结果一跑起来直接给我整麻了——页面加载要 5 秒多，点击“重新扫描”按钮后 UI 直...

安全阅读 1,119
打工人子伯

触摸劫持攻击原理与前端防御实战指南

又踩坑了，touchmove滚动失效上周上线一个移动端滑动菜单，结果 QA 一测就说“iOS 上滑不动”，我一开始还以为是惯性滚动的问题，后来才发现是被 touchmove 的默认行为搞的鬼。更麻烦...

安全阅读 672
UP主～晏宇

Double Submit Cookie 防御 CSRF 攻击的实战解析与踩坑经验

为什么我又要折腾 Double Submit Cookie？最近在给一个老项目加 CSRF 防护，后端同事说“你前端搞个 Double Submit Cookie 就行了”，我一听就头大。不是因为难...

安全阅读 1,515
开发者江洁

strict-dynamic实战指南：绕过CSP限制的正确姿势

为啥我要折腾 strict-dynamic？最近项目要过安全审计，CSP（Content Security Policy）成了绕不开的坎。以前我们用 unsafe-inline 图省事，结果被安全团...

安全阅读 2,444
常青的笔记

CORS错误全解析：从原理到实战解决方案

又遇到 CORS 错误了？别慌，这几个方案我踩过坑上周改个老项目接口，本地跑得好好的，一上测试环境直接报 CORS 错误。这玩意儿我见得多了，但每次处理还是得翻半天配置。其实解决 CORS 的方式就...

安全阅读 904
程序猿东慧

深入解析 dangerouslySetInnerHTML 的使用风险与安全实践

又踩坑了，dangerouslySetInnerHTML 到底怎么用才安全？上周改一个老项目，后端直接返回带 HTML 的富文本内容，我第一反应就是用 dangerouslySetInnerHTML...

安全阅读 2,819
南宫姗姗

实战解析Content-Security-Policy配置与安全防护策略

优化前：卡得不行上周上线一个新功能后，用户反馈页面加载慢得离谱，尤其在低端安卓机上，白屏时间能到5秒以上。我一开始以为是打包体积太大，或者接口慢，结果 Lighthouse 一跑，发现「避免巨大的网...

安全阅读 1,843
东方士娇

入侵检测系统实战：从原理到部署的完整技术指南

先看效果，再看代码上周我们线上一个内部管理后台突然被刷了大量异常请求，虽然没造成数据泄露，但日志里全是 403 和 500，差点把服务器打崩。事后复盘发现，前端其实能做点事——不是防攻击，而是快速感...

安全阅读 632
码农翌耀

深入解析 block-all-mixed-content 的安全机制与实战应用

为什么我要折腾 block-all-mixed-content 这个东西？事情是这样的，上个月我们上线了一个新项目，HTTPS 全站强制开启，结果 QA 一测，发现部分老页面里的图片、脚本居然还是 ...

安全阅读 810
夏侯文仙

UI覆盖层实现方案与常见坑点实战总结

为什么我要折腾 UI 覆盖这事儿？最近做了一个带弹窗的后台管理系统，用户反馈说“点弹窗后面的按钮还能触发操作”，我一测果然——modal 弹出来后，底下的表单居然还能交互。这问题说大不大，但真要出事...

安全阅读 662
晓娜的笔记

输入过滤实战：防御XSS与SQL注入的关键技术

项目初期的技术选型去年接了个后台管理系统，用户能提交富文本、表单、甚至上传 CSV 导入数据。一开始我心想，不就是个 CRUD 吗？前端校验一下格式，后端再存数据库，稳得很。但上线前安全团队扫了一波...

安全阅读 1,452
Mr-乐萱

揭秘前端请求加密那些事儿

我的写法，亲测靠谱在处理请求加密的时候，我一般选择使用HTTPS来确保数据传输的安全性，这是最基本也是最靠谱的做法。不过光是HTTPS还不够，有时候还需要在代码层面再加把锁。我通常会在前端对敏感数据...

安全阅读 541
程序员可馨

npm审计实战技巧与常见漏洞修复方案

项目初期的技术选型项目一开始，安全这块儿就显得尤为重要了。我们用的是Node.js，自然少不了npm来管理依赖。选型的时候，npm审计（npm audit）就进入了我的视线。它能自动检测项目中的已知...

安全阅读 2,326
Good“瑞瑞

防重放攻击实战总结：从前端到后端的全面防护策略

优化前：卡得不行最近在做一个项目，涉及到一些敏感的API调用，比如用户登录、支付等。一开始我们没太注意防重放攻击这块，结果上线后发现性能问题严重，特别是高峰期，页面加载时间长到让人抓狂。用户反馈说，...

安全阅读 2,243