JavaScript代码审计需重点检查危险函数如eval()、innerHTML及第三方依赖安全,防范XSS、原型污染与命令注入;通过输入验证、输出编码、CSP策略和自动化工具提升安全性。
JavaScript代码审计是发现前端与部分Node.js后端应用中安全漏洞的重要手段。随着Web应用复杂度上升,JavaScript暴露的攻击面也在扩大。通过系统性地审查代码逻辑、输入处理和依赖管理,可以有效识别潜在风险。
关注危险函数与DOM操作
某些JavaScript函数因直接执行字符串或操作DOM而极易引发安全问题,尤其是XSS(跨站脚本)漏洞。
需重点检查的函数包括:
- eval():动态执行传入的字符串,可能被恶意注入代码
- setTimeout() 和 setInterval():若第一个参数为字符串,会隐式调用eval
- innerHTML、outerHTML:写入未过滤的内容可能导致XSS
- document.write()、document.writeln():在页面动态输出内容时存在注入风险
- Function()构造器:可执行任意代码,应避免使用用户输入拼接
建议用textContent替代innerHTML,或对动态内容进行HTML实体编码。若必须插入HTML,应使用成熟的净化库如DOMPurify。
立即学习“Java免费学习笔记(深入)”;
验证与清理用户输入
所有来自用户、URL参数、表单、localStorage或API响应的数据都应视为不可信。
常见疏漏点:
- 直接将window.location.hash或URLSearchParams写入页面
- 未校验AJAX返回数据类型,导致JSON注入或原型污染
- localStorage读取后直接渲染,缺乏类型与内容检查
应对策略是始终进行输入验证(白名单过滤)、输出编码,并在关键位置添加CSP(内容安全策略)作为纵深防御。
检查第三方依赖安全性
现代JavaScript项目大量依赖npm包,这些依赖可能引入已知漏洞。
推荐做法:
- 运行npm audit或使用pnpm audit扫描依赖树中的已知漏洞
- 使用Snyk、Dependabot等工具持续监控依赖更新与CVE通报
- 审查高权限或高影响力依赖(如lodash、moment)是否被正确使用,防止原型污染
- 移除未使用或维护停滞的包,减少攻击面
重点关注package-lock.json或pnp.lock文件,确保依赖版本锁定且可追溯。
Node.js环境下的特殊风险
服务端JavaScript(如Express应用)面临更多系统级威胁。
典型问题包括:
- 不安全的反序列化:JSON.parse()配合__proto__或constructor可能导致原型污染
- 命令注入:使用child_process.exec()拼接用户输入
- 路径遍历:文件操作未校验路径,如fs.readFile('./uploads/' + filename)
- 敏感信息泄露:配置文件中硬编码密钥、token等
应避免使用exec(),改用spawn()并严格控制参数;文件操作前规范化路径并限制根目录;使用环境变量管理密钥。
基本上就这些。定期做代码走查,结合自动化工具如ESLint插件(eslint-plugin-security)和静态分析工具(如Semgrep),能大幅提升JavaScript应用的安全性。关键是形成习惯,把安全当成编码的一部分。不复杂但容易忽略。
