JavaScript安全防护及漏洞分析指南

JavaScript无内置安全边界，所有安全依赖开发者对环境、数据流和信任边界的清醒认知；浏览器中JS仅有沙箱限制而非特权，易受XSS、CSRF等攻击，需严格防范输入、凭证、第三方脚本及CSP配置。

JavaScript 本身不提供运行时安全边界，所有“安全性”都依赖开发者对执行环境、数据流向和信任边界的清醒认知。浏览器里跑的 JS 没有“沙箱特权”，只有沙箱限制——它能读页面、发请求、存 localStorage，也能被 XSS 注入、被 CSRF 利用、被恶意 script 标签劫持。

为什么 innerHTML 是 XSS 高危入口

直接把用户输入拼进 innerHTML，等于把 HTML 解析权交给了不可信数据。哪怕只显示一条评论，只要含 ，就可能触发会话窃取。

• 替代方案优先用 textContent；需要渲染富文本时，必须用严格白名单解析器（如 DOMPurify.sanitize()），而非正则替换或黑名单过滤
• v-html（Vue）、dangerouslySetInnerHTML（React）同理，它们不是语法糖，是明确的安全免责申明
• 服务端返回 JSON 时，避免在前端用 eval() 或 JSON.parse(new Function(...)) 执行动态代码

fetch 默认不带 credentials，但你可能忘了关掉

默认情况下，fetch(url) 不发送 Cookie，看似安全；但一旦设成 {credentials: 'include'}，就等同于开启了跨站请求的会话复用能力。如果后端没校验 Origin 或没设置 SameSite=Strict 的 Cookie，CSRF 就成立。

• 除非明确需要登录态，否则不要加 credentials: 'include'
• 敏感操作（如转账、删账号）必须服务端二次验证（如验证码、密码确认），不能只靠前端隐藏按钮或禁用提交
• 检查 Set-Cookie 响应头是否包含 SameSite=Lax 或 Strict，旧项目常漏配

第三方脚本加载失控 = 把钥匙交给陌生人

用 document.write、动态 appendChild(script) 或未锁定版本的 CDN 脚本（如 https://cdn.jsdelivr.net/npm/jquery@latest），会让任意代码在你的域下执行。2023 年多个电商站点因加载被污染的统计 SDK 导致支付页键盘记录器注入。

• 禁止使用 document.write（现代浏览器已警告废弃）
• 第三方脚本必须指定完整语义化版本（@3.6.1），并用 integrity 属性校验 SRI（Subresource Integrity）
• 关键页面（如登录、支付）禁用 eval 类 API，可通过 CSP 头强制：Content-Security-Policy: script-src 'self' 'unsafe-eval' → 改为 'self' 并移除 'unsafe-eval'

const script = document.createElement('script');
script.src = 'https://cdn.jsdelivr.net/npm/react@18.2.0/umd/react.production.min.js';
script.integrity = 'sha384-...'; // 必须与实际资源 hash 一致
script.crossOrigin = 'anonymous';
document.head.appendChild(script);

CSP 策略写得再细，只要漏掉一个 unsafe-inline 或放行了 *.evil.com，整个防线就形同虚设。真正难的不是知道漏洞名字，而是每次加一行 JS 时，都问自己：这行代码执行在谁的上下文？它信任谁？谁又能控制它的输入？

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《JavaScript安全防护及漏洞分析指南》文章吧，也可关注golang学习网公众号了解相关技术文章。