温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

10个React安全的使用方法教程

发布时间:2021-10-19 09:29:04 来源:亿速云 阅读:150 作者:iii 栏目:web开发

本篇内容主要讲解“10个React安全的使用方法教程”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“10个React安全的使用方法教程”吧!

  1.  数据绑定( Data Binding)默认的xss保护

  2.  危险的URL

  3.  渲染html

  4.  直接访问dom

  5.  服务端渲染

  6.  检测依赖项中的漏洞

  7.  JSON State

  8.  检测React易受攻击版本

  9.  linter工具

  10.  危险的库代码

1、数据绑定( Data Binding)默认的 xss 保护

使用默认的{}进行数据绑定,React会自动对值进行转义以防止XSS攻击。但注意这种保护只在渲染textContent时候有用,渲染HTML attributes的时候是没用的。

使用数据绑定语法{}将数据在组件中。

这样做:

<div>{data}</div>

避免没有经过自定义验证的动态HTML attributes值。

别这样做:

<form action={data}>...

2、危险的URL

URL是可以通过javascript:协议来引入动态脚本的。所以需要验证你的连接是否是http:或者https:以防止javascript:url的脚本注入。使用原生的URL parsing方法进行URL验证,判断其协议是否在你的白名单中。

这样做:

function validateURL(url) {    const parsed = new URL(url)    return ['https:', 'http:'].includes(parsed.protocol)  }  <a href={validateURL(url) ? url : ''}>Click here!</a>

别这样做:

<a href={attackerControlled}>Click here!</a>

3、渲染html

React是可以通过dangerouslySetInnerHTML将html代码直接渲染到dom节点中的。但以这种方式插入的任何内容都必须事先消毒。

在将任何值放入dangerouslySetInnerHTML属性之前,需要用dompurify对其消毒。

在插入html时用dompurify进行处理

import purify from "dompurify";  <div dangerouslySetInnerHTML={{ __html:purify.sanitize(data) }} />

4、直接访问dom

应该避免访问DOM然后直接将内容注入DOM节点。如果你一定要插入HTML,那就先用dompurify消毒,然后再用dangerouslySetInnerHTML属性。

这样做:

import purify from "dompurify";  <div dangerouslySetInnerHTML={{__html:purify.sanitize(data) }} />

不要使用refs 和findDomNode()去访问渲染出来的DOM元素,然后用类似innerHTML的方法或者属性去注入内容。

别这样做:

this.myRef.current.innerHTML = attackerControlledValue;

5、服务端渲染

在使用像ReactDOMServer.renderToString()和ReactDOMServer.renderToStaticMarkup()这类方法的时候,数据绑定会自动提供内容转义的功能。

避免在将字符串发送到客户端浏览器进行注水(hydration)之前,把其他的一些(未经检验的)字符串连接到renderToStaticMarkup()的输出上。

不要把未经消毒的数据连接到renderToStaticMarkup()的输出上,以防止XSS

app.get("/", function (req, res) {    return res.send(      ReactDOMServer.renderToStaticMarkup(        React.createElement("h2", null, "Hello World!")      ) + otherData    );  });

6、检测依赖项中的漏洞

一些第三方组件的某些版本可能包含安全问题。检查您的依赖关系,并及时更新到更好的版本。

使用类似snyk CLI[1]的工具进行漏洞检查。

snyk CLI 还可以与代码管理系统集成,然后自动修复漏洞:

$ npx snyk test

7、JSON state

将JSON数据与SSR后的React页面一起发送是常见做法。一定要用无害的等价字符转移<字符。

使用良性等效字符转义JSON中的HTML有效值:

window.__PRELOADED_STATE__ =   ${JSON.stringify(preloadedState).replace( /</g, '\\u003c')}

8、易受攻击的React版本

React库在过去有一些严重性很高的漏洞,因此最好保持最新版本。

使用npm outdated查看是否处于最新版本,从而避免使用react和react dom的易受攻击版本。

9、linter工具

安装能自动检测代码中的安全问题并提供修正建议的Linter配置和插件。

使用 ESLint React security config[2] 来检查安全漏洞。

配置能在使用husky这样的库检测到安全相关的问题时,会失败的pre-commit钩子。

使用Snyk自动更新版本[3] 当其检查到你当前的版本有安全问题。

10、危险的库代码

库代码通常会进行危险的操作,如直接将HTML插入DOM。人工或使用linter工具来检查库代码,以检测是否有对React机制的不安全使用。

避免那些使用dangerouslySetInnerHTML、innerHTML、未验证的URL或其他不安全模式的库。使用linter工具对node_modules目录进行检查。

到此,相信大家对“10个React安全的使用方法教程”有了更深的了解,不妨来实际操作一番吧!这里是亿速云网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI