JavaScript无法直接防止代码注入,核心是禁止执行不可信字符串:禁用eval()、Function()、setTimeout(string)等;插入HTML时用textContent或DOMPurify转义;JSON解析用JSON.parse()而非eval;启用CSP禁用'unsafe-eval'和'unsafe-inline'。
JavaScript本身不能直接防止代码注入攻击,关键在于不执行不可信的字符串作为代码。常见错误是用eval()、Function()、setTimeout(string)或setInterval(string)动态运行用户输入的内容。
这是最核心的防护原则。任何来自用户、URL参数、表单、API响应或本地存储的数据,都不能直接传给以下函数:
eval()new Function(...)setTimeout(string, ...) 或 setInterval(string, ...)
document.write()(尤其拼接用户数据时)例如,不要这样写:
❌ 错误示例const userInput = 'alert("xss")';
eval(userInput); // 危险!向页面插入用户内容时,必须防止XSS(跨站脚本)——本质也是一种代码注入。
立即学习“Java免费学习笔记(深入)”;
系统功能强大、操作便捷并具有高度延续开发的内容与知识管理系统,并可集合系统强大的新闻、产品、下载、人才、留言、搜索引擎优化、等功能模块,为企业部门提供一个简单、易用、开放、可扩展的企业信息门户平台或电子商务运行平台。开发人员为脆弱页面专门设计了防刷新系统,自动阻止恶意访问和攻击;安全检查应用于每一处代码中,每个提交到系统查询语句中的变量都经过过滤,可自动屏蔽恶意攻击代码,从而全面防止SQL注入攻击
0
textContent代替innerHTML,当只需显示纯文本时 → <code><),或使用可信的库如DOMPurify
document.createElement() + appendChild() + textContent
例如:
✅ 推荐方式const el = document.createElement('div');
el.textContent = userInput; // 自动转义,安全JSON.parse()本身安全(只要输入是合法JSON),但注意别用eval()模拟解析;模板引擎如Handlebars、Mustache默认会自动转义变量,但需确认未关闭转义(如Handlebars中{{{ }}}是不转义的,慎用)。
JSON.parse(),不用eval('(' + jsonStr + ')')
CSP不是JS代码层面的修复,但能大幅降低注入成功后的危害。通过HTTP响应头设置:
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'
应移除'unsafe-eval'和'unsafe-inline',改用外部JS文件和事件委托。
<script>...</script>、onclick="...")eval类函数执行以上就是JavaScript如何防止代码注入攻击?的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
279
收藏
