这个主题太漂亮啦！我想使用他，但是担心有恶意代码/后门。请问怎么确认他是安全的呢？ 正所谓 防人之心不可无 嘛。。呃，求高手支招！

关靠前端的话，这个实现不了，毕竟太危险了，你要整个恶意EXE，用户电脑不得中招了？ 从需求的角度思考，这个需要有没有其他方式实现？

如果允许插入iframe，那有心人可以伪造一个和sf一样的登录界面，在文章里插入要保证网站的安全，必须要怀着最大的恶意去揣测用户的行为

模拟器打开时，一直报错”无法打开“libQt5Network.5.dylib”，因为Apple无法检查其是否包含恶意软件。",已在设置/隐私中反复同意打开仍然不能解决

问题1： 阿里云cdn/oss url鉴权说是“为防止站点资源被恶意下载盗用”，但是怎么防止呢，即使加了签名，别人拿到这个地址也能访问。安全性在哪呢？感觉还不如refer和黑名单。

APP里预埋一个token，结合时间戳/每次请求的一个随机值randstr，生成一个最终signature，在Server进行验证即可，（安全级别不是很高，但防大部分恶意请求没问题了）。

举例来说,开启的危害就是假设你的网站有[链接]这样的一张图片,我通过[链接]就可以查看到这个文件的二进制内容,意思就是可以通过php来执行它.问题就来了,如果你的网站允许用户上传图片,那么用户就可以构造一些恶意的代码,并伪装成图片上传.然后通过上面说的那种方式就可以在你网站的服务器上面通过php跑恶意代码了. 具体...

不过验证码确实太简单了，而且全是数字。可是，换个复杂一点儿的验证码也没有太大的意义，现在识别验证码的软件正确率都很高。过于复杂的又影响用户体验。最可怕的是，他们可以选择人工识别验证码。。。就是写一个脚本，做个界面，只显示验证码和一个输入框，然后再添加一些方便快速输入的按键，人要做的就是识别验证码...

服务上执行。比如C 必须编译然后执行。而JS、Python(PyScript)直接浏览器执行就可以。找了个示例。[链接]不过这个要注意防止恶意代码

API还想绝对安全？公开请求的API我还没见过不能盗取的。别想着什么加密验证了，服务器弄请求规则就行，你防的不应该是资源获取，而是恶意攻击。

Cookie存在同源策略，不同的域名无法访问。例如，有A，C两个网站，C网站为恶意网站，C网站是如何获得A网站的Cookie然后向A网站服务器发送请求的？

使用uni-app开发鸿蒙应用时，如何确保应用的安全性，防止数据泄露和恶意攻击？本文参与了【 HarmonyOS NEXT 技术问答冲榜，等你来战！】，欢迎正在阅读的你也加入。

目前比较流行的应该是手机验证吧。或者就是同一台MAC地址过来的注册请求，在一段时间内可以认为是恶意注册将请求过滤掉。

如题 总是被人恶意镜像，不胜其烦，请问如何解决呀？发现很多都是使用Nginx反向代理实现的，谁知道在Nginx下如何禁止或者防范被别人反向代理？

建议这种情况直接找客服，毕竟花钱了就应该得到服务，确认是不是被人恶意攻击，还是服务器代码漏洞导致，事后需要针对不同情况做相应处理

没必要禁用5分钟不能登录啊, 防恶意攻击, 让后台给个验证码就好了, 提交接口的时候后台去验证账号密码验证码是否匹配, 再根据返回值前端去判断

当然不可能是永久,这些数据顶多存半年,一般来说会保存数月时间 目的是为了出故障的时候查看是不是有恶意攻击行为,或其他取证需求什么的