React 的一些优秀安全实践

React.js、Vue.js 这些现代的前端框架默认已经对安全做了非常多的考虑,但是这仍然不能阻碍我们写出一些安全漏洞 。。。因为框架永远不能完全限制我们编程的灵活性,只要有一定的灵活性存在就意味着有安全风险。

下面我就带大家一起来看一下,为了保证我们 React 应用的安全性,有哪些值得遵循的优秀实践。

dangerouslySetInnerHTML

React​ 会对默认的数据绑定({}​)进行自动转义来防止 XSS​ 攻击,所有数据都会认为是 textContent:

但是为了保障开发的灵活性,它也给我们提供了一些直接渲染 HTML​ 的方法,比如 dangerouslySetInnerHTML:

在把数据传入 dangerouslySetInnerHTML​ 之前,一定要确保数据是经过过滤或转义的,比如可以通过 dompurify.sanitize 进行过滤:

importdompurifyfrom"dompurify";
import"./styles.css";

exportdefaultfunctionApp() {
constcode="<input onfocus=alert(1) autofocus />";
return (
<divclassName="App">
<divdangerouslySetInnerHTML={{ __html: dompurify.sanitize(code) }} />
</div>
);
}

避免直接操作 DOM 注入 HTML

除了 dangerouslySetInnerHTML​ ,我们当然还可以直接通过原生的 DOM API​ 来插入 HTML:

另外也可以通过 ref​ 来访问 DOM​ 来插入 HTML:

这两个操作都是相当危险的操作,推荐大家既然用了 React​ 就要尽量用 React​ 的编写方式来写代码,尽量不要直接操作 DOM​,如果你确实要渲染富文本,还是推荐用上面提到的 dangerouslySetInnerHTML,而且数据要经过过滤或转义。

服务端渲染

当使用服务端渲染函数时,数据绑定也会提供自动内容转义,比如 ReactDOMServer.renderToString()​ 和 ReactDOMServer.renderToStaticMarkup()。

在将字符串发送给客户端进行注水之前,避免将字符串直接拼接到 renderToStaticMarkup() 的输出上。

为了避免 XSS​,不要将未过滤的数据与 renderToStaticMarkup() 的输出连接在一起:

app.get("/", function (req, res) {
returnres.send(
ReactDOMServer.renderToStaticMarkup(
React.createElement("h1", null, "Hello ConardLi!")
) +otherData
);
});

JSON 注入

将 JSON​ 数据与服务器端渲染的 React​ 页面一起发送是很常见的。始终对 < 字符进行转义来避免注入攻击:

window.JSON_DATA=${JSON.stringify(jsonData).replace( /</g, '\\u003c')}

URL 注入

前面几个基本上都是直接渲染未经过滤的富文本导致的 XSS​,实际上通过 URL​ 伪协议也可以执行 javascript 脚本:

因此所有需要注入到代码里的 URL​ 参数,我们都要做好 URL 的合法性验证,千万不要直接注入进去:

import"./styles.css";

functionisSafe(url) {
if (url&&!url.startsWith("http")) {
returnnull;
}
// ... 其他判断
}

exportdefaultfunctionApp() {
constcode="javascript:alert('xss')";
return (
<divclassName="App">
测试URL注入
<ahref={isSafe(code)}>一个平平无奇的链接</a>
</div>
);
}

避免有漏洞的 React 版本

React​ 以前也被测试出有比较高危的安全漏洞,建议经常保持更新,来避免这些有漏洞的 React 版本:

避免有漏洞的其他依赖

一般我们的项目都会依赖大量的开源代码,有时漏洞并不是我们写出来的,而是这些依赖带进来的,因此我们无论使用任何框架,定期进行依赖更新都是不错的选择。

Eslint React 安全配置

推荐大家通过 Eslint​ 的 React 安全配置(https://github.com/snyk-labs/eslint-config-react-security/)来对代码进行约束,它会自动帮助我们发现一些代码中的安全风险。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/122044.html<

(0)
管理的头像管理
上一篇2025-02-22 04:09
下一篇 2025-02-22 04:10

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注