本篇內(nèi)容介紹了“怎么在React中防范XSS攻擊”的有關(guān)知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細閱讀，能夠?qū)W有所成！

本篇內(nèi)容介紹了“怎么在React中防范XSS攻擊”的有關(guān)知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細閱讀，能夠?qū)W有所成！

按需網(wǎng)站設(shè)計可以根據(jù)自己的需求進行定制，網(wǎng)站設(shè)計、成都網(wǎng)站設(shè)計構(gòu)思過程中功能建設(shè)理應(yīng)排到主要部位公司網(wǎng)站設(shè)計、成都網(wǎng)站設(shè)計的運用實際效果公司網(wǎng)站制作網(wǎng)站建立與制做的實際意義

跨站點腳本(XSS)攻擊是一種將惡意代碼注入網(wǎng)頁然后執(zhí)行的攻擊。這是前端Web開發(fā)人員必須應(yīng)對的最常見的網(wǎng)絡(luò)攻擊形式之一，因此了解攻擊的工作原理和防范方法非常重要。

在本文中，我們將查看幾個用React編寫的代碼示例，這樣您也可以保護您的站點和用戶。

示例1：React中成功的XSS攻擊

對于我們所有的示例，我們將實現(xiàn)相同的基本功能。我們將在頁面上有一個搜索框，用戶可以在其中輸入文本。點擊“Go”按鈕將模擬運行搜索，然后一些確認文本將顯示在屏幕上，并向用戶重復(fù)他們搜索的術(shù)語。這是任何允許你搜索的網(wǎng)站的標(biāo)準(zhǔn)行為。

很簡單，對吧?會出什么問題呢?

好吧，如果我們在搜索框中輸入一些HTML怎么辦?讓我們嘗試以下代碼段：

<img src="1" onerror="alert('Gotcha!')" />

現(xiàn)在會發(fā)生什么?

哇，onerror 事件處理程序已執(zhí)行!那不是我們想要的!我們只是不知不覺地從不受信任的用戶輸入中執(zhí)行了腳本。

然后，破碎的圖像將呈現(xiàn)在頁面上，那也不是我們想要的。

那么我們是怎么到這里的呢?好吧，在本例中渲染搜索結(jié)果的JSX中，我們使用了以下代碼：

<p style={searchResultsStyle}>You searched for: <b><span dangerouslySetInnerHTML={{ __html: this.state.submittedSearch }} /></b></p>

用戶輸入被解析和渲染的原因是我們使用了 dangerouslySetInnerHTML 屬性，這是React中的一個特性，它的工作原理就像原生的 innerHTML 瀏覽器API一樣，由于這個原因，一般認為使用這個屬性是不安全的。

示例2：React中的XSS攻擊失敗

現(xiàn)在，讓我們看一個成功防御XSS攻擊的示例。這里的修復(fù)方法非常簡單：為了安全地渲染用戶輸入，我們不應(yīng)該使用 dangerouslySetInnerHTML 屬性。相反，讓我們這樣編寫輸出代碼：

<p style={searchResultsStyle}>You searched for: <b>{this.state.submittedSearch}</b></p>

我們將輸入相同的輸入，但這一次，這里是輸出：

很好!用戶輸入的內(nèi)容在屏幕上只呈現(xiàn)為文字，威脅已被解除。

這是個好消息!React默認情況下會對渲染的內(nèi)容進行轉(zhuǎn)義處理，將所有的數(shù)據(jù)都視為文本字符串處理，這相當(dāng)于使用原生 textContent 瀏覽器API。

示例3：在React中清理HTML內(nèi)容

所以，這里的建議似乎很簡單。只要不要在你的React代碼中使用dangerouslySetInnerHTML 你就可以了。但如果你發(fā)現(xiàn)自己需要使用這個功能呢?

例如，也許您正在從諸如Drupal之類的內(nèi)容管理系統(tǒng)(CMS)中提取內(nèi)容，而其中某些內(nèi)容包含標(biāo)記。(順便說一句，我可能一開始就不建議在文本內(nèi)容和來自CMS的翻譯中包含標(biāo)記，但對于本例，我們假設(shè)您的意見被否決了，并且?guī)в袠?biāo)記的內(nèi)容將保留下來。)

在這種情況下，您確實想解析HTML并將其呈現(xiàn)在頁面上。那么，您如何安全地做到這一點?

答案是在渲染HTML之前對其進行清理。與完全轉(zhuǎn)義HTML不同，在渲染之前，您將通過一個函數(shù)運行內(nèi)容以去除任何潛在的惡意代碼。

您可以使用許多不錯的HTML清理庫。和任何與網(wǎng)絡(luò)安全有關(guān)的東西一樣，最好不要自己寫這些東西。有些人比你聰明得多，不管他們是好人還是壞人，他們比你考慮得更多，一定要使用久經(jīng)考驗的解決方案。

我最喜歡的清理程序庫之一稱為sanitize-html，它的功能恰如其名。您從一些不干凈的HTML開始，通過一個函數(shù)運行它，然后得到一些漂亮、干凈、安全的HTML作為輸出。如果您想要比它們的默認設(shè)置提供更多的控制，您甚至可以自定義允許的HTML標(biāo)記和屬性。

本文標(biāo)題：怎么在React中防范XSS攻擊
網(wǎng)頁地址：http://chinadenli.net/article36/ioossg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、網(wǎng)站排名、網(wǎng)站維護、電子商務(wù)、商城網(wǎng)站、手機網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)