防范XSS需全程验证与转义用户输入,优先使用textContent、现代框架默认转义及DOMPurify等库,配合CSP和HttpOnly等HTTP头实现全链路防护。
防止XSS(跨站脚本攻击)的关键在于不信任用户输入,并在输出时进行适当处理。JavaScript本身无法完全阻止XSS,但通过正确的编码实践可以大幅降低风险。
对用户输入进行验证和清理
任何来自用户的数据都应被视为不可信。在前端和后端都要验证输入格式,限制长度、类型和字符集。
- 使用白名单机制只允许特定字符,比如邮箱只能包含字母、数字、@ 和 .
- 避免直接使用 innerHTML 插入用户内容,改用 textContent,它会自动转义HTML
- 若必须插入HTML,使用经过验证的库如 DOMPurify 进行净化处理
正确转义动态内容
将数据插入到页面前,根据上下文进行转义:
- 插入HTML内容时,把 转成 zuojiankuohaophpcn,> 转成 youjiankuohaophpcn 等
- 在JavaScript字符串中嵌入数据时(如拼接脚本),确保特殊字符如引号被转义
- 输出到属性值中时也需转义,防止闭合标签注入事件处理器
使用现代框架的安全特性
React、Vue 等主流框架默认对插值进行转义,能有效防范常见XSS。
立即学习“Java免费学习笔记(深入)”;
- React 中使用 {variable} 不会执行脚本,但 dangerouslySetInnerHTML 需谨慎使用
- Vue 的双大括号 {{ }} 也会自动转义,v-html 指令等同于 innerHTML,要避免用于用户内容
启用安全的HTTP头
虽然不属于JavaScript代码本身,但配合使用可增强防护:
- 设置 Content-Security-Policy (CSP) 头,禁止内联脚本和未授权资源加载
- 使用 HttpOnly 标志保护 Cookie,防止通过 document.cookie 窃取
- 开启 X-Content-Type-Options 和 X-XSS-Protection(尽管后者现代浏览器已弃用)
基本上就这些。关键是保持警惕,所有用户数据在展示前都要处理,不依赖客户端验证作为唯一防线。安全是全链路的事,前端JavaScript只是其中一环。
