XSS和CSRF是Web安全主要威胁,需通过输入转义、CSP策略、Anti-CSRF Token及SameSite Cookie等措施协同防御,前后端共同保障通信安全。
JavaScript 在现代 Web 开发中无处不在,但它的灵活性也带来了安全风险,尤其是 XSS(跨站脚本)和 CSRF(跨站请求伪造)攻击。这两种漏洞常被攻击者利用来窃取用户数据或冒充用户执行非法操作。要保障前端与后端的通信安全,开发者必须主动采取防御措施。
防范 XSS 攻击:阻止恶意脚本注入
XSS 攻击发生在攻击者将恶意脚本插入网页,当其他用户浏览时,脚本在他们的浏览器中执行。常见形式包括存储型、反射型和 DOM 型 XSS。
以下方法可有效降低风险:
- 对用户输入进行转义:在服务端或前端渲染前,将特殊字符如 、>、& 转为 HTML 实体。例如,使用 DOMPurify 库清理富文本内容。
-
设置 Content Security Policy (CSP):通过 HTTP 头部 CSP 限制页面可以加载的资源,禁止内联脚本执行。例如:
Content-Security-Policy: default-src 'self'; script-src 'self' - 避免使用 innerHTML 或 dangerouslySetInnerHTML:优先使用 textContent 或安全的渲染方式,防止直接插入未过滤的 HTML 字符串。
- 对 Cookie 设置 HttpOnly 标志:防止 JavaScript 访问敏感 Cookie,降低会话劫持风险。
防范 CSRF 攻击:验证请求来源合法性
CSRF 利用用户已登录的身份,诱导其浏览器向目标网站发送非自愿请求。例如,攻击者诱导用户点击链接,悄悄提交转账表单。
立即学习“Java免费学习笔记(深入)”;
防御策略包括:
- 使用 Anti-CSRF Token:服务器生成一次性 token 并嵌入表单或响应头,每次提交请求时需携带该 token。服务器验证 token 是否匹配,防止伪造请求。
- 检查请求头中的 Origin 或 Referer:服务端验证请求是否来自合法域名。虽然可被绕过,但作为辅助手段仍具价值。
- 采用 SameSite Cookie 属性:设置 Cookie 的 SameSite=Strict 或 Lax,可阻止浏览器在跨站请求中自动携带 Cookie,极大降低攻击成功率。
- 对敏感操作要求二次验证:如修改密码、转账等操作,增加验证码或身份确认步骤。
前后端协同加强整体防护
安全不能只靠前端或后端单独完成。前端应限制输入格式并合理使用安全机制,后端则必须做完整校验与过滤。
- 所有用户输入在服务端都要重新验证,不能信任前端过滤结果。
- API 接口应默认启用 CSRF 保护,尤其针对状态变更的 POST、PUT、DELETE 请求。
- 使用现代框架内置的安全功能,如 Express 的 csurf 中间件(或更新方案),React 与 Vue 的模板自动转义机制。
基本上就这些。XSS 和 CSRF 虽然常见,但只要在开发流程中建立安全意识,结合技术手段持续防护,就能大幅减少被攻击的风险。安全不是一次配置,而是贯穿设计、编码到部署的全过程。不复杂但容易忽略。
