前端安全最佳实践：密码、XSS 与 CSRF 防护

探讨前端安全的核心问题及解决方案。首先指出在前端直接存储明文密码的风险，建议使用 HTTPS 传输并配合服务端设置 httpOnly Cookie 存储 Token。其次讲解 XSS 防护，强调避免使用 dangerouslySetInnerHTML 处理不可信输入，需进行转义处理。接着介绍 CSRF 防护机制，通过验证 CSRF Token 和 Referer 头防止跨站请求伪造。最后强调依赖安全管理，定期使用 npm audit 或 Snyk 检查漏洞并及时更新。遵循这些实践可有效提升网站安全性。

雪落无声发布于 2026/4/6更新于 2026/5/2024 浏览

前端安全最佳实践

为什么需要关注前端安全

前端安全是构建可靠应用的基础。忽视安全问题可能导致用户数据泄露或被恶意攻击。

不安全示例

以下代码展示了常见的安全隐患，例如明文传输密码和将 Token 存储在 localStorage 中。

function Login() {
  const [username, setUsername] = React.useState('');
  const [password, setPassword] = React.useState('');
  const handleSubmit = async (e) => {
    e.preventDefault();
    // 直接发送密码，没有加密
    const response = await fetch('/api/login', {
      method: 'POST',
      headers: { 'Content-Type': 'application/json' },
      body: JSON.stringify({ username, password })
    });
    const data = await response.json();
    // 直接存储 token 在 localStorage
    localStorage.setItem('token', data.token);
  };
  return (
    <form onSubmit={handleSubmit}>
      <input type= = = = => setUsername(e.target.value)} />
       setPassword(e.target.value)} />
      登录
    
  );
}

相关免费在线工具

Keycode 信息
查找任何按下的键的javascript键代码、代码、位置和修饰符。在线工具，Keycode 信息在线工具，online
Escape 与 Native 编解码
JavaScript 字符串转义/反转义；Java 风格 \uXXXX（Native2Ascii）编码与解码。在线工具，Escape 与 Native 编解码在线工具，online
JavaScript / HTML 格式化
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。在线工具，JavaScript / HTML 格式化在线工具，online
JavaScript 压缩与混淆
Terser 压缩、变量名混淆，或 javascript-obfuscator 高强度混淆（体积会增大）。在线工具，JavaScript 压缩与混淆在线工具，online
Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online
Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online

function Login() {
  const [username, setUsername] = React.useState('');
  const [password, setPassword] = React.useState('');
  const handleSubmit = async (e) => {
    e.preventDefault();
    // 使用 HTTPS 传输
    const response = await fetch('/api/login', {
      method: 'POST',
      headers: { 'Content-Type': 'application/json' },
      body: JSON.stringify({ username, password })
    });
    const data = await response.json();
    // 使用 httpOnly cookie 存储 token
    // 服务端设置：res.cookie('token', token, { httpOnly: true, secure: true });
  };
  return (
    <form onSubmit={handleSubmit}>
      <input type="text" placeholder="用户名" value={username} onChange={(e) => setUsername(e.target.value)} />
      <input type="password" placeholder="密码" value={password} onChange={(e) => setPassword(e.target.value)} />
      <button type="submit">登录</button>
    </form>
  );
}

function CommentList({ comments }) {
  return (
    <div>
      {comments.map(comment => (
        <div key={comment.id}>
          {/* 安全的方式：直接渲染文本 */}
          <p>{comment.content}</p>
        </div>
      ))}
    </div>
  );
}

// 后端转义
function escapeHtml(text) {
  return text
    .replace(/&/g, '&amp;')
    .replace(/</g, '&lt;')
    .replace(/>/g, '&gt;')
    .replace(/"/g, '&quot;')
    .replace(/'/g, '&#039;');
}

function Form() {
  const [csrfToken, setCsrfToken] = React.useState('');
  React.useEffect(() => {
    async function getCsrfToken() {
      const response = await fetch('/api/csrf-token');
      const data = await response.json();
      setCsrfToken(data.token);
    }
    getCsrfToken();
  }, []);

  const handleSubmit = async (e) => {
    e.preventDefault();
    const response = await fetch('/api/submit', {
      method: 'POST',
      headers: { 'Content-Type': 'application/json', 'X-CSRF-Token': csrfToken },
      body: JSON.stringify({ /* 表单数据 */ })
    });
    console.log(await response.json());
  };

  return (
    <form onSubmit={handleSubmit}>
      <input type="hidden" name="_csrf" value={csrfToken} />
      <button type="submit">提交</button>
    </form>
  );
}

{
  "name": "my-app",
  "version": "1.0.0",
  "dependencies": {
    "react": "^18.2.0",
    "react-dom": "^18.2.0"
  },
  "scripts": {
    "audit": "npm audit",
    "update": "npm update"
  }
}

npm run audit
npm run update

前端安全最佳实践：密码、XSS 与 CSRF 防护

前端安全最佳实践

为什么需要关注前端安全

不安全示例

更多推荐文章

相关免费在线工具

安全实践

1. 密码与认证安全

2. XSS 攻击防护

3. CSRF 攻击防护

4. 依赖包安全管理

更多推荐文章

相关免费在线工具

前端安全最佳实践：密码、XSS 与 CSRF 防护

前端安全最佳实践

为什么需要关注前端安全

不安全示例

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

安全实践

1. 密码与认证安全

2. XSS 攻击防护

3. CSRF 攻击防护

4. 依赖包安全管理

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具