日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
10個React安全實踐

 你在找保護 React 應用程序的最佳方法嗎?那你找對地方了!

專注于為中小企業(yè)提供成都做網(wǎng)站、成都網(wǎng)站設計、成都外貿(mào)網(wǎng)站建設服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)五指山免費做網(wǎng)站提供優(yōu)質(zhì)的服務。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動了1000+企業(yè)的穩(wěn)健成長,幫助中小企業(yè)通過網(wǎng)站建設實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

我創(chuàng)建了這個 React 安全最佳實踐清單,以幫助你和你的團隊發(fā)現(xiàn)并解決 React 應用中的安全問題。這篇文章將展示如何自動測試你的 React 代碼中的安全問題,并修復它們。

讓我們開始吧。

  1.  數(shù)據(jù)綁定( Data Binding)默認的xss保護
  2.  危險的URL
  3.  渲染html
  4.  直接訪問dom
  5.  服務端渲染
  6.  檢測依賴項中的漏洞
  7.  JSON State
  8.  檢測React易受攻擊版本
  9.  linter工具
  10.  危險的庫代碼

1、數(shù)據(jù)綁定( Data Binding)默認的 xss 保護

使用默認的{}進行數(shù)據(jù)綁定,React會自動對值進行轉(zhuǎn)義以防止XSS攻擊。但注意這種保護只在渲染textContent時候有用,渲染HTML attributes的時候是沒用的。

使用數(shù)據(jù)綁定語法{}將數(shù)據(jù)在組件中。

這樣做:

 
 
 
    
  
  
  
  1. {data}
    2.

避免沒有經(jīng)過自定義驗證的動態(tài)HTML attributes值。

別這樣做:

 
 
 
    
  
  
  
  1. ...
    2.

2、危險的URL

URL是可以通過javascript:協(xié)議來引入動態(tài)腳本的。所以需要驗證你的連接是否是http:或者https:以防止javascript:url的腳本注入。使用原生的URL parsing方法進行URL驗證,判斷其協(xié)議是否在你的白名單中。

這樣做:

 
 
 
    
  
  
  
  1. function validateURL(url) { 
    2. 
  
  
  
  2.   const parsed = new URL(url) 
    3. 
  
  
  
  3.   return ['https:', 'http:'].includes(parsed.protocol) 
    4. 
  
  
  
    5. 
  
  
  
  5. Click here!
    6.

別這樣做:

 
 
 
    
  
  
  
  1. Click here!
    2.

3、渲染html

React是可以通過dangerouslySetInnerHTML將html代碼直接渲染到dom節(jié)點中的。但以這種方式插入的任何內(nèi)容都必須事先消毒。

在將任何值放入dangerouslySetInnerHTML屬性之前,需要用dompurify對其消毒。

在插入html時用dompurify進行處理

 
 
 
    
  
  
  
  1. import purify from "dompurify"; 
    2. 
  
  
  
    3.

4、直接訪問dom

應該避免訪問DOM然后直接將內(nèi)容注入DOM節(jié)點。如果你一定要插入HTML,那就先用dompurify消毒,然后再用dangerouslySetInnerHTML屬性。

這樣做:

 
 
 
    
  
  
  
  1. import purify from "dompurify"; 
    2. 
  
  
  
    3.

不要使用refs 和findDomNode()去訪問渲染出來的DOM元素,然后用類似innerHTML的方法或者屬性去注入內(nèi)容。

別這樣做:

 
 
 
    
  
  
  
  1. this.myRef.current.innerHTML = attackerControlledValue;
    2.

5、服務端渲染

在使用像ReactDOMServer.renderToString()和ReactDOMServer.renderToStaticMarkup()這類方法的時候,數(shù)據(jù)綁定會自動提供內(nèi)容轉(zhuǎn)義的功能。

避免在將字符串發(fā)送到客戶端瀏覽器進行注水(hydration)之前,把其他的一些(未經(jīng)檢驗的)字符串連接到renderToStaticMarkup()的輸出上。

不要把未經(jīng)消毒的數(shù)據(jù)連接到renderToStaticMarkup()的輸出上,以防止XSS

 
 
 
    
  
  
  
  1. app.get("/", function (req, res) { 
    2. 
  
  
  
  2.   return res.send( 
    3. 
  
  
  
  3.     ReactDOMServer.renderToStaticMarkup( 
    4. 
  
  
  
  4.       React.createElement("h1", null, "Hello World!") 
    5. 
  
  
  
  5.     ) + otherData 
    6. 
  
  
  
  6.   ); 
    7. 
  
  
  
  7. });
    8.

6、檢測依賴項中的漏洞

一些第三方組件的某些版本可能包含安全問題。檢查您的依賴關系,并及時更新到更好的版本。

使用類似snyk CLI[1]的工具進行漏洞檢查。

snyk CLI 還可以與代碼管理系統(tǒng)集成,然后自動修復漏洞:

$ npx snyk test

7、JSON state

將JSON數(shù)據(jù)與SSR后的React頁面一起發(fā)送是常見做法。一定要用無害的等價字符轉(zhuǎn)移<字符。

使用良性等效字符轉(zhuǎn)義JSON中的HTML有效值:

 
 
 
    
  
  
  
  1. window.__PRELOADED_STATE__ =   ${JSON.stringify(preloadedState).replace( /

8、易受攻擊的React版本

React庫在過去有一些嚴重性很高的漏洞,因此最好保持最新版本。

使用npm outdated查看是否處于最新版本,從而避免使用react和react dom的易受攻擊版本。

9、linter工具

安裝能自動檢測代碼中的安全問題并提供修正建議的Linter配置和插件。

使用 ESLint React security config[2] 來檢查安全漏洞。

配置能在使用husky這樣的庫檢測到安全相關的問題時,會失敗的pre-commit鉤子。

使用Snyk自動更新版本[3] 當其檢查到你當前的版本有安全問題。

10、危險的庫代碼

庫代碼通常會進行危險的操作,如直接將HTML插入DOM。人工或使用linter工具來檢查庫代碼,以檢測是否有對React機制的不安全使用。

避免那些使用dangerouslySetInnerHTML、innerHTML、未驗證的URL或其他不安全模式的庫。使用linter工具對node_modules目錄進行檢查。

后話

以上就是我要分享的10個React安全實踐。你在 React 安全方面有哪些經(jīng)驗,歡迎在評論中分享出來。


當前標題:10個React安全實踐
URL鏈接:http://m.5511xx.com/article/ccdpooh.html