[[381881]]

 你在找保護(hù) React 應(yīng)用程序的最佳方法嗎？那你找對地方了！

我創(chuàng)建了這個(gè) React 安全最佳實(shí)踐清單，以幫助你和你的團(tuán)隊(duì)發(fā)現(xiàn)并解決 React 應(yīng)用中的安全問題。這篇文章將展示如何自動(dòng)測試你的 React 代碼中的安全問題，并修復(fù)它們。

讓我們開始吧。

1.  數(shù)據(jù)綁定（ Data Binding）默認(rèn)的xss保護(hù)
2.  危險(xiǎn)的URL
3.  渲染html
4.  直接訪問dom
5.  服務(wù)端渲染
6.  檢測依賴項(xiàng)中的漏洞
7.  JSON State
8.  檢測React易受攻擊版本
9.  linter工具
10.  危險(xiǎn)的庫代碼

1、數(shù)據(jù)綁定（ Data Binding）默認(rèn)的 xss 保護(hù)

使用默認(rèn)的{}進(jìn)行數(shù)據(jù)綁定，React會(huì)自動(dòng)對值進(jìn)行轉(zhuǎn)義以防止XSS攻擊。但注意這種保護(hù)只在渲染textContent時(shí)候有用，渲染HTML attributes的時(shí)候是沒用的。

使用數(shù)據(jù)綁定語法{}將數(shù)據(jù)在組件中。

這樣做:

<div>{data}</div> 

避免沒有經(jīng)過自定義驗(yàn)證的動(dòng)態(tài)HTML attributes值。

別這樣做: 

<form action={data}>... 

2、危險(xiǎn)的URL

URL是可以通過javascript:協(xié)議來引入動(dòng)態(tài)腳本的。所以需要驗(yàn)證你的連接是否是http:或者h(yuǎn)ttps:以防止javascript:url的腳本注入。使用原生的URL parsing方法進(jìn)行URL驗(yàn)證，判斷其協(xié)議是否在你的白名單中。

這樣做: 

function validateURL(url) {  
  const parsed = new URL(url)  
  return ['https:', 'http:'].includes(parsed.protocol)  
}  
<a href={validateURL(url) ? url : ''}>Click here!</a> 

別這樣做: 

<a href={attackerControlled}>Click here!</a> 

3、渲染html

React是可以通過dangerouslySetInnerHTML將html代碼直接渲染到dom節(jié)點(diǎn)中的。但以這種方式插入的任何內(nèi)容都必須事先消毒。

在將任何值放入dangerouslySetInnerHTML屬性之前，需要用dompurify對其消毒。

在插入html時(shí)用dompurify進(jìn)行處理 

import purify from "dompurify";  
<div dangerouslySetInnerHTML={{ __html:purify.sanitize(data) }} /> 

4、直接訪問dom

應(yīng)該避免訪問DOM然后直接將內(nèi)容注入DOM節(jié)點(diǎn)。如果你一定要插入HTML，那就先用dompurify消毒，然后再用dangerouslySetInnerHTML屬性。

這樣做: 

import purify from "dompurify";  
<div dangerouslySetInnerHTML={{__html:purify.sanitize(data) }} /> 

不要使用refs 和findDomNode()去訪問渲染出來的DOM元素，然后用類似innerHTML的方法或者屬性去注入內(nèi)容。

別這樣做: 

this.myRef.current.innerHTML = attackerControlledValue; 

5、服務(wù)端渲染

在使用像ReactDOMServer.renderToString()和ReactDOMServer.renderToStaticMarkup()這類方法的時(shí)候，數(shù)據(jù)綁定會(huì)自動(dòng)提供內(nèi)容轉(zhuǎn)義的功能。

避免在將字符串發(fā)送到客戶端瀏覽器進(jìn)行注水（hydration）之前，把其他的一些（未經(jīng)檢驗(yàn)的）字符串連接到renderToStaticMarkup()的輸出上。

不要把未經(jīng)消毒的數(shù)據(jù)連接到renderToStaticMarkup()的輸出上，以防止XSS 

app.get("/", function (req, res) {  
  return res.send(  
    ReactDOMServer.renderToStaticMarkup(  
      React.createElement("h1", null, "Hello World!")  
    ) + otherData  
  );  
}); 

6、檢測依賴項(xiàng)中的漏洞

一些第三方組件的某些版本可能包含安全問題。檢查您的依賴關(guān)系，并及時(shí)更新到更好的版本。

使用類似snyk CLI[1]的工具進(jìn)行漏洞檢查。

snyk CLI 還可以與代碼管理系統(tǒng)集成，然后自動(dòng)修復(fù)漏洞：

$ npx snyk test

7、JSON state

將JSON數(shù)據(jù)與SSR后的React頁面一起發(fā)送是常見做法。一定要用無害的等價(jià)字符轉(zhuǎn)移<字符。

使用良性等效字符轉(zhuǎn)義JSON中的HTML有效值： 

window.__PRELOADED_STATE__ =   ${JSON.stringify(preloadedState).replace( /</g, '\\u003c')} 

8、易受攻擊的React版本

React庫在過去有一些嚴(yán)重性很高的漏洞，因此最好保持最新版本。

使用npm outdated查看是否處于最新版本，從而避免使用react和react dom的易受攻擊版本。

9、linter工具

安裝能自動(dòng)檢測代碼中的安全問題并提供修正建議的Linter配置和插件。

使用 ESLint React security config[2] 來檢查安全漏洞。

配置能在使用husky這樣的庫檢測到安全相關(guān)的問題時(shí)，會(huì)失敗的pre-commit鉤子。

使用Snyk自動(dòng)更新版本[3] 當(dāng)其檢查到你當(dāng)前的版本有安全問題。

10、危險(xiǎn)的庫代碼

庫代碼通常會(huì)進(jìn)行危險(xiǎn)的操作，如直接將HTML插入DOM。人工或使用linter工具來檢查庫代碼，以檢測是否有對React機(jī)制的不安全使用。

避免那些使用dangerouslySetInnerHTML、innerHTML、未驗(yàn)證的URL或其他不安全模式的庫。使用linter工具對node_modules目錄進(jìn)行檢查。

后話

以上就是我要分享的10個(gè)React安全實(shí)踐。你在 React 安全方面有哪些經(jīng)驗(yàn)，歡迎在評論中分享出來。