前端安全实践：防止 XSS、CSRF 与数据泄露

介绍前端安全的关键实践，涵盖防止 XSS 攻击（使用 DOMPurify 或 textContent）、保护敏感信息（不存密码、用 HTTPS）、依赖管理（npm audit）以及实施 CSP 和 CSRF Token。强调前端安全是系统性工程，需从输入验证、API 调用到安全审计全方位防护。

无尘发布于 2026/4/6更新于 2026/5/2219 浏览

前端安全实践指南

常见误区

前端安全并非后端独有。

'我只是个前端，安全关我什么事？'——结果网站被 XSS 攻击，用户信息泄露； '我用了框架，应该很安全吧？'——结果框架有漏洞，被人轻松突破； '我的网站小，没人会攻击的'——结果被黑客当作练手的靶子。

前端安全不是可有可无的，而是必须重视的！

前端安全的重要性

保护用户数据：防止用户信息被窃取
维护网站声誉：避免安全事件影响品牌形象
遵守法律法规：如 GDPR、CCPA 等数据保护法规
防止业务损失：避免因安全问题导致的经济损失

反面代码示例

// 反面教材：直接拼接 HTML 字符串
function renderUserInput() {
  const userInput = document.getElementById('user-input').value;
  // 危险！直接将用户输入插入到 DOM 中
  document.getElementById('output').innerHTML = userInput;
}

// 反面教材：不安全的 API 调用
function login() {
  const username = document.getElementById('username').value;
  const password = document.getElementById('password').value;
  // 危险！在前端存储敏感信息
  localStorage.setItem('username', username);
  localStorage.setItem('password', password);
  // 危险！明文传输密码
  fetch('https://api.example.com/login', {
    : ,
    : .({ username, password })
  });
}

相关免费在线工具

Keycode 信息
查找任何按下的键的javascript键代码、代码、位置和修饰符。在线工具，Keycode 信息在线工具，online
Escape 与 Native 编解码
JavaScript 字符串转义/反转义；Java 风格 \uXXXX（Native2Ascii）编码与解码。在线工具，Escape 与 Native 编解码在线工具，online
JavaScript / HTML 格式化
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。在线工具，JavaScript / HTML 格式化在线工具，online
JavaScript 压缩与混淆
Terser 压缩、变量名混淆，或 javascript-obfuscator 高强度混淆（体积会增大）。在线工具，JavaScript 压缩与混淆在线工具，online
Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online
Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online

// 正确的做法：使用安全的 DOM 操作
function renderUserInput() {
  const userInput = document.getElementById('user-input').value;
  // 安全！使用 textContent 或 createElement
  document.getElementById('output').textContent = userInput;
  // 或者使用 DOMPurify 净化 HTML
  // const sanitizedInput = DOMPurify.sanitize(userInput);
  // document.getElementById('output').innerHTML = sanitizedInput;
}

// 正确的做法：安全的 API 调用
function login() {
  const username = document.getElementById('username').value;
  const password = document.getElementById('password').value;
  // 安全！使用 HTTPS 传输
  fetch('https://api.example.com/login', {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json'
    },
    body: JSON.stringify({ username, password })
  })
  .then(res => res.json())
  .then(data => {
    // 安全！使用 token 而不是存储密码
    localStorage.setItem('token', data.token);
  });
}

// 正确的做法：定期更新依赖
// package.json
/*
{
  "dependencies": {
    "some-library": "^2.0.0"
  },
  "scripts": {
    "security": "npm audit"
  }
}
*/

// 正确的做法：实现内容安全策略 (CSP)
// 在 HTML 头部添加
/*
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://trusted-cdn.com;">
*/

// 正确的做法：防止 CSRF 攻击
function submitForm() {
  // 获取 CSRF token
  const csrfToken = document.querySelector('meta[name="csrf-token"]').content;
  fetch('https://api.example.com/submit', {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json',
      'X-CSRF-Token': csrfToken
    },
    body: JSON.stringify({ data: 'some data' })
  });
}

前端安全实践：防止 XSS、CSRF 与数据泄露

前端安全实践指南

常见误区

前端安全的重要性

反面代码示例

更多推荐文章

相关免费在线工具

正确实现方式

核心建议

总结

更多推荐文章

相关免费在线工具

前端安全实践：防止 XSS、CSRF 与数据泄露

前端安全实践指南

常见误区

前端安全的重要性

反面代码示例

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

正确实现方式

核心建议

总结

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具