标签: Web安全

文章解释Prisma中`db.$queryRaw`标签模板字符串的工作原理：分解为SQL骨架和变量数组，自动转为参数化查询（占位符? +独立数据），有效防止SQL注入。与`$queryRawUnsafe`直接执行字符串形成对比，后者易受注入攻击。

本文演示 CVE-2025-66478 漏洞的复现，背景为 Web 框架的安全问题。关键问题是对象污染导致代码执行。方案包括构建恶意 payload 对象，使用 FormData 发送 POST 请求至 Next.js 或 Waku 端点。

本文探讨了 SVG 文件可能存在的 XSS 安全风险。在 `<img>` 和 `background-image` 中 SVG 作为图像渲染是安全的。但内联 SVG、通过 `object/iframe/embed` 引入 SVG、服务器 MIME 类型配置错误，以及 SVG 内部使用 `javascript:` 链接或事件属性都可能导致 XSS 漏洞。

本文介绍了使用 Chrome Extension 修改 HTTP 请求和响应 header 的方法。通过 `declarativeNetRequest` API，动态更新规则，移除请求头中的 `Origin` 字段，并设置响应头中的 `Access-Control-Allow-Origin`、`Access-Control-Allow-Methods` 和 `Access-Control-Allow-Headers` 字段，实现跨域访问。需要在 `manifest` 文件中声明 `declarativeNetRequest` 权限。

本文深入解析了 CSP、CSRF 与 MITM 三种 Web 安全防御技术，强调纵深防御的重要性。涵盖 CSP 策略配置、CSRF Token 工程实践、HTTPS 部署进阶，以及关联攻击链的防御思考，并展望了 Web 安全前沿趋势。

当多个站点共享静态资源URL时，未设置`Vary: Origin`可能导致缓存污染，引发CORS错误。推荐方案为设置`Vary: Origin`并动态验证Origin，需监控缓存命中率。其他方案如通配符ACAO或URL版本化各有局限。关注Client Hints等未来标准可优化缓存。

React中安全渲染富文本需防范XSS攻击。避免直接使用`dangerouslySetInnerHTML`，推荐使用如DOMPurify和sanitize-html等过滤库。采用白名单策略，限制标签和属性，并对链接进行安全处理。前后端双重过滤，结合SSR，可提升安全性和性能。选择合适的过滤库并定期更新，是安全展示富文本的关键。

本文总结了在HTTPS网页中加载HTTP内容的方法及HTTP状态码。针对Chrome阻止不安全内容的问题，提供了通过隐私设置允许加载特定网站HTTP内容的方法。详细解析了1xx至5xx共五大类HTTP状态码，并结合实际应用场景，帮助读者理解不同状态码的含义和用途。

本文介绍了Cookie的基本概念和SameSite属性。SameSite用于限制Cookie的跨站访问，有Lax、Strict和None三种取值。新标准要求SameSite=None时必须同时设置Secure属性。此外，文章还提到了hostOnly Cookie和Session Cookie，以及Cookie名称和值的格式规范。