防范JavaScript代码注入攻击需避免执行不可信数据并控制脚本环境。1. 禁止直接执行用户输入,避免eval()、innerHTML等风险操作,用JSON.parse()和textContent替代;2. 启用内容安全策略(CSP),通过HTTP头限制资源加载,禁用内联脚本与动态代码执行;3. 输出时按上下文进行编码,如HTML实体编码、JavaScript字符串转义、URL编码;4. 利用React、Vue、Angular等框架内置防护机制,慎用dangerouslySetInnerHTML等危险API。核心是始终信任用户输入不可信,结合CSP实现多层防御,将安全意识融入开发习惯。
防范JavaScript代码注入攻击的核心在于避免动态执行不可信数据,并严格控制脚本的加载与执行环境。这类攻击通常通过将恶意脚本插入页面,诱导浏览器执行,从而窃取数据或冒充用户操作。以下是具体防护措施。
1. 禁止直接执行用户输入的数据
任何时候都不要将用户输入的内容当作可执行代码处理。常见风险点包括使用eval()、new Function()、setTimeout()/setInterval()传入字符串参数,以及innerHTML直接写入未过滤的内容。
- 用JSON.parse()代替eval()解析JSON数据
- 使用textContent而非innerHTML插入文本内容
- 若必须插入HTML,应先对内容进行转义或使用专门的DOMPurify等库清理
2. 启用内容安全策略(CSP)
CSP是防止代码注入的关键防御机制,它通过HTTP响应头限制页面可以加载和执行哪些资源。
- 设置Content-Security-Policy: default-src 'self',禁止加载外部不可信脚本
- 避免使用'unsafe-inline'和'unsafe-eval'
- 允许特定域名的脚本加载,如script-src 'self' https://trusted.cdn.com
这样即使攻击者成功注入<script>标签或内联事件,浏览器也会阻止执行。
立即学习“Java免费学习笔记(深入)”;
3. 对输出进行上下文敏感的编码
在将数据插入HTML、JavaScript字符串、URL等不同上下文时,需采用对应的转义方式。
- 插入HTML标签间:使用HTML实体编码(如&转为&)
- 插入JavaScript字符串:对引号、反斜杠、行终止符等进行转义
- 插入URL参数:使用encodeURIComponent()
前端框架如React默认会对变量插值做转义,但仍需注意dangerouslySetInnerHTML等特殊API的使用。
4. 使用现代框架的安全特性
主流前端框架(React、Vue、Angular)在设计上已内置部分防护能力。
- React自动转义JSX中的变量,防止XSS
- Vue的模板插值{{ }}默认编码,v-html需谨慎使用
- Angular默认开启DOM sanitizer
但仍需开发者正确使用API,不绕过安全机制。
基本上就这些。关键是在开发中始终假设用户输入不可信,不拼接代码字符串,配合CSP形成纵深防御。安全不是一次配置,而是贯穿编码习惯的意识。
