2022-01-26 15:07
是SonarQube的广告吗?傍上了vue.js
2022-01-26 14:55
SonarQube是什么语言开发的,建议弃用
2022-01-26 14:20
甩锅甩到前端这边来了, 牛13~
2022-01-26 14:13
安全不安全我不清楚。我只知道我做后端的一条铁律:前端输入的任何信息都不可信,都要去校验后写入数据库。
因为 curl 可以伪造任何前端请求数据。
2022-01-26 13:23
想不到这osc的技术差的真多啊
2022-01-26 12:35
“因为信息化办公存在信息泄露的风险,且信息化技术都是采用国外的技术并不可靠,我单位决定全面改用纸质化办公,纸张完全由我公司自行生产实现核心技术的自主可控,从今日起立即执行,坚决服从上级领导的安排与指示,争取今年顺利完成该目标”
2022-01-26 12:06
说明发这样通知的那些部门的技术人员和领导水平很高
2022-01-26 11:39
"Vue 本身并不存在任何安全性问题",这句话就很有安全问题
2022-01-26 11:03
不学无术之徒霸占庙堂,弄出此等贻笑大方的丑事
2022-01-26 13:21
这件事显示鱿鱼西和osc的不学无术
2022-01-26 10:21
这个帖子评论里面一个超级搞笑的观点:

前端不可能有安全问题。

简直不知道让安全专家还敢不敢说话了。
2022-01-26 11:28
前端不可能有安全问题?人家前端可以把token发到他自己的服务器,厉害吧
I_I
2022-01-26 11:53
那是因为用某个特定的前端框架导致的这个安全吗?是不是用其他前端框架,或者是用原生JS就不会出现这个问题呢?
2022-01-26 13:59
举个例子看看
I_I
2022-01-26 11:51
你这是连别人的观点都没搞清楚,前端常见的安全问题就那么十多种,但没有哪个是因为特定的前端框架引起的,因为你用其他框架,或者用原生JS也会导致同样的问题
2022-01-26 10:08
我也收到这个了,直接回了一句:vue没问题!
2022-01-26 10:05
收到通知,一脸懵b
2022-01-26 09:32
还是webassembly吧 但凡靠服务器渲染 多少会有通讯在
I_I
2022-01-26 09:38
vue的SSR服务器渲染是部署之前,把vue项目的文件渲染成一堆静态文件,然后给后端用或直接输出
2022-01-26 09:20
会不会外包技术太low?,没有后端,直接都写到了前端,只有JS+数据的方式?
2022-01-26 09:02
XSS漏洞在jquery是重灾区,因为jquery开发经常搞字符串拼接html,缺乏安全意识。
2022-01-26 08:58
Vue的安全文档已经挺详细了
2022-01-26 08:12
可拉倒把,vue的双绑已经很稳了,注入攻击基本上不会出现的。百分之百是哪个该祭天的程序员手拼dom导致的。再就是后端不给力,鉴权安全认证没整明白。
2022-01-26 10:31
人家部署、数钱的时候,可是各种安全证书都有的,哈哈哈。
2022-01-26 00:03
SonarQube的排查有收到,Vue.js并未收到。
2022-01-25 21:57
开始甩锅
2022-01-25 21:34
现在是万物皆可影响国家安全,甩锅扣帽子的法宝。
2022-01-25 20:19
病急乱投医???
2022-01-25 20:18
其实就是甩锅,之前也看过相关文件,说SonarQube服务被提供到公网被攻击了。
2022-01-25 20:09
应该是 SonarQube 软件甩锅。可怜的尤雨溪。
虽然我不用 vue,也对这种甩锅行为表示愤慨。
I_I
2022-01-25 21:12
【应该是 SonarQube 软件甩锅】—— 又开始胡扯了!
1、SonarQube的公司好歹是家技术公司,即使要甩锅也不会用这么低级的理由甩锅,让同行笑话!
2、从上面截图中的内容没看出SonarQube甩锅了,这锅明明扣得死死的!至于为什么要搭上vue,原因不明!
2022-01-25 22:54
以你的智商,很难和你解释。
vue真香!
2022-01-25 19:18
虽然不觉得Vue会有问题, 但对于文中说到的"前端框架无法被黑客用于渗透"的论断不敢苟同, 毕竟现在很多前端框架包括Vue是有服务器端渲染(SSR)功能的, 这就是在后端执行前端框架
I_I
2022-01-25 21:27
服务器端渲染,然后生成一些静态文件,生成的这些文件供后端使用或者直接输出,服务器端渲染是在部署之前完成的,vue不会在后端执行
2022-01-26 10:25
我们几个敢说这样的话,肯定会在这里被几十个人喷子,你信不信?
我真是觉得太可笑了,osc的社区的平均技术水平已经肤浅到如此地步了吗?
居然那么多人认为前端不可能有安全问题。。。我简直不知道该说什么。
I_I
2022-01-26 11:57
【居然那么多人认为前端不可能有安全问题】—— 你是不是把别人的观点理解错了?前端常见的安全问题就那么十多种,但没有一个是跟特定的前端框架相关的!你换别的前端框架,或者是用原生JS,这些前端的安全问题就不存在了?
2022-01-26 14:07
服务端渲染,说白了就是在服务端做了浏览器该做的的事情,内容呈现给用户
2022-01-25 19:15
后端出漏洞怪前端框架?
2022-01-25 19:06
转义工作由前端框架完成。后端省事。 哈哈哈哈
2022-01-25 18:26
笑了,怕就别用开源的东西,自己发明
2022-01-25 18:22
居然没有java、dubbo之流
2022-01-25 18:18
一款 ui 框架怎么涉及国家安全,后端没有做好防护,怪到前端来了
2022-01-25 18:12
好担心springboot也挨被涉及国家安全漏洞,然后...java程序员失业
2022-01-25 20:09
我不担心,因为我很少用 SpringBoot, 哈哈哈。
2022-01-26 08:18
不用springboot你就不会java了?那你可真水了。就纯spring一顿application.xml都能把项目搞起来
2022-01-26 09:26
好担心 spring-core 也挨被涉及国家安全漏洞,然后...java程序员失业
2022-01-26 08:44
哈哈哈哈。
2022-01-26 09:11
还是HookPHP香啊
2022-01-25 17:55
自从见过尤雨溪之后,越来越不看好他。下场撕皮,上场XSS攻击免责。前端安全上前端安全。不是借口。
I_I
2022-01-25 18:06
无语。。。。。你先了解一下什么是XSS攻击,这个跟前端框架有什么关系?用其他前端框架或者用原生JS就不会有XSS安全问题?
2022-01-25 18:50
就是啊,连问题都没定位清楚就乱发一通,XSS跟用Vue还是React有啥关系?
2022-01-25 19:46
我家系统过了等保三级,网络服务从来都是前后端都进行防护,来增加攻击者的成本。(截取自百度)XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。(截取自百度)Vue不提供模版信息数据过滤,人家说的很清楚,直接上传了个Vue的模版。尤雨溪不通过默认提供filter解决问题。在那里甩个P的锅。
2022-01-25 19:56
前端怎么能预测什么样的需求,说不定某些功能就需要上传模板呢? 这个过滤过滤逻辑当然是后端来做。
2022-01-26 11:49
我会先质疑,为什么有上传模版的需求。求普及。 过滤当然是两端都做,安全是整体项目。
2022-01-26 11:50
尤其是vue先存vm再存服务器,本页面也会被特殊字段攻击。
2022-01-25 22:01
老实说,等保不等于一切,等保测试都是有明确的目标,也不可能覆盖所有安全问题
2022-01-26 11:48
等保三里面有XSS攻击测试项目。
I_I
2022-01-26 09:42
【Vue不提供模版信息数据过滤】—— 用原生JS提供“模版信息数据过滤”吗?
2022-01-26 11:48
我认为在设计过程中,如果考虑过安全内容。是会考虑的。 通过过滤器把模版 字符串显示。而不是直接调用模版引擎运行。 这个是等保三的测试项目之一。 安全不会关心是前端做还是后端做,最终的建议两端都做,保平安。
I_I
2022-01-26 12:01
回复 @抢小孩糖吃 : vue在模板中默认就是text,会转义标签,但如果有人非要用v-html,这个也能怪框架?
本来避免XSS攻击就应该是后端对用户提交的数据进行过滤或转义,这样才最可靠
2022-01-26 10:15
不知道为啥这么多前端跑来辩护说前端不可能有安全问题,就算有问题也是后端的问题?

还有,最后话说回来了,
一个用英文为荣,用中文为耻的人,我不知道为啥值得信任。
I_I
2022-01-26 12:08
【不知道为啥这么多前端跑来辩护说前端不可能有安全问题】—— 因为你没把别人的观点理解清楚,从来没人说“前端不可能有安全问题”这个观点,相反稍微有点技术水平的都知道前端常见的那十多种安全问题,这些安全问题,即使你用原生JS也还是会存在,跟框架关系不大。
【一个用英文为荣,用中文为耻的人,我不知道为啥值得信任。】—— 你这纯属乱扣帽子,人家从来没有这样的观点或行为,优先用英文也只是因为方便跟全球开发者一起协作。
你要不用易语言吧?
2022-01-25 19:17
xss攻击绝对是你自己写的代码的问题,这锅甩不了
2022-01-26 00:00
朋友,打标签,人身攻击就不好了。这事有一说一,人家vue并没有什么问题的。
2022-01-26 09:10
这就属于看别人不顺眼,别人呼吸都是错的
2022-01-26 09:13
这种评论直接暴露了你的智商,外行?
2022-01-25 17:38
人怕出名猪怕壮,国内就这调性
2022-01-26 10:19
这扯到哪跟哪?上纲上线的?告诉我哪个用途广泛的框架没有名?凡事就扯到国内?自己属不属于国内?自己是不是这个调性的一部分?
谈谈技术,就事论事不应该吗?
我反对的一点就是,为啥你们前端会认为前端不可能存在安全漏洞问题?这么多人不至于这么没水平吧?js发展这么多年,按照你们的观点,是不是都白发展瞎了?根本毫不需要呢?
回复 @
{{emojiItem.symbol}}
返回顶部
顶部