前端安全实战：密码、XSS 与 CSRF 防护

探讨前端安全核心问题，指出直接存储密码和使用 localStorage 保存 Token 的风险。通过对比不安全代码与修复方案，介绍了 HTTPS 传输、HttpOnly Cookie 存储 Token、XSS 输入转义、CSRF Token 验证以及依赖包审计等关键防护措施。旨在帮助开发者构建更安全的 Web 应用，防止数据泄露和恶意攻击。

霸天发布于 2026/4/6更新于 2026/4/121 浏览

前端安全实战：密码、XSS 与 CSRF 防护

为什么需要关注前端安全

在前端开发中，安全问题常被忽视。例如直接在前端存储用户密码且无加密措施，会导致严重的数据泄露风险。

不安全示例

以下代码展示了常见的安全隐患：

// 反面示例：不安全的登录实现
function Login() {
  const [username, setUsername] = React.useState('');
  const [password, setPassword] = React.useState('');
  
  const handleSubmit = async (e) => {
    e.preventDefault();
    // 直接发送密码，没有加密
    const response = await fetch('/api/login', {
      method: 'POST',
      headers: { 'Content-Type': 'application/json' },
      body: JSON.stringify({ username, password })
    });
    const data = await response.json();
    // 直接将 token 存储在 localStorage，易受 XSS 攻击
    localStorage.setItem('token', data.token);
  };

  return (
    <form onSubmit={handleSubmit}>
      < = = = = => setUsername(e.target.value)} />
       setPassword(e.target.value)} />
      登录
    
  );
}
  ;

相关免费在线工具

Keycode 信息
查找任何按下的键的javascript键代码、代码、位置和修饰符。在线工具，Keycode 信息在线工具，online
Escape 与 Native 编解码
JavaScript 字符串转义/反转义；Java 风格 \uXXXX（Native2Ascii）编码与解码。在线工具，Escape 与 Native 编解码在线工具，online
JavaScript / HTML 格式化
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。在线工具，JavaScript / HTML 格式化在线工具，online
JavaScript 压缩与混淆
Terser 压缩、变量名混淆，或 javascript-obfuscator 高强度混淆（体积会增大）。在线工具，JavaScript 压缩与混淆在线工具，online
Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online
Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online

// 正确姿势：安全的登录实现
function Login() {
  const [username, setUsername] = React.useState('');
  const [password, setPassword] = React.useState('');
  
  const handleSubmit = async (e) => {
    e.preventDefault();
    // 使用 HTTPS 传输
    const response = await fetch('/api/login', {
      method: 'POST',
      headers: { 'Content-Type': 'application/json' },
      body: JSON.stringify({ username, password })
    });
    const data = await response.json();
    // 服务端设置 httpOnly cookie 存储 token
    // res.cookie('token', token, { httpOnly: true, secure: true });
  };

  return (
    <form onSubmit={handleSubmit}>
      <input type="text" placeholder="用户名" value={username} onChange={(e) => setUsername(e.target.value)} />
      <input type="password" placeholder="密码" value={password} onChange={(e) => setPassword(e.target.value)} />
      <button type="submit">登录</button>
    </form>
  );
}
export default Login;

// 正确姿势：XSS 防护
function CommentList({ comments }) {
  return (
    <div>
      {comments.map(comment => (
        <div key={comment.id}>
          {/* 安全的方式：直接渲染文本 */}
          <p>{comment.content}</p>
          {/* 不安全的方式：<p dangerouslySetInnerHTML={{ __html: comment.content }} /> */}
        </div>
      ))}
    </div>
  );
}

// 后端转义示例
function escapeHtml(text) {
  return text
    .replace(/&/g, '&amp;')
    .replace(/</g, '&lt;')
    .replace(/>/g, '&gt;')
    .replace(/"/g, '&quot;')
    .replace(/'/g, '&#039;');
}

// 正确姿势：CSRF 防护
function Form() {
  const [csrfToken, setCsrfToken] = React.useState('');
  
  React.useEffect(() => {
    async function getCsrfToken() {
      const response = await fetch('/api/csrf-token');
      const data = await response.json();
      setCsrfToken(data.token);
    }
    getCsrfToken();
  }, []);

  const handleSubmit = async (e) => {
    e.preventDefault();
    const response = await fetch('/api/submit', {
      method: 'POST',
      headers: { 
        'Content-Type': 'application/json', 
        'X-CSRF-Token': csrfToken 
      },
      body: JSON.stringify({ /* 表单数据 */ })
    });
    const data = await response.json();
    console.log(data);
  };

  return (
    <form onSubmit={handleSubmit}>
      <input type="hidden" name="_csrf" value={csrfToken} />
      {/* 表单字段 */}
      <button type="submit">提交</button>
    </form>
  );
}

// 服务端验证示例
app.post('/api/submit', (req, res) => {
  const csrfToken = req.headers['x-csrf-token'] || req.body._csrf;
  if (!csrfToken || !validateCsrfToken(csrfToken)) {
    return res.status(403).json({ error: 'CSRF token invalid' });
  }
  res.json({ success: true });
});

{
  "name": "my-app",
  "version": "1.0.0",
  "dependencies": {
    "react": "^18.2.0",
    "react-dom": "^18.2.0"
  },
  "scripts": {
    "audit": "npm audit",
    "update": "npm update"
  }
}

npm run audit
npm run update

前端安全实战：密码、XSS 与 CSRF 防护

前端安全实战：密码、XSS 与 CSRF 防护

为什么需要关注前端安全

不安全示例

更多推荐文章

相关免费在线工具

安全实践

1. 密码与 Token 安全

2. XSS 防护

3. CSRF 防护

4. 依赖安全

前端安全实战：密码、XSS 与 CSRF 防护

前端安全实战：密码、XSS 与 CSRF 防护

为什么需要关注前端安全

不安全示例

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

安全实践

1. 密码与 Token 安全

2. XSS 防护

3. CSRF 防护

4. 依赖安全