前端防范 XSS 跨站脚本攻击实战 | 极客日志

JavaScriptNode.js大前端

前端防范 XSS 跨站脚本攻击实战

XSS 跨站脚本攻击允许恶意脚本注入浏览器。前端可通过 layui.util.escape 和 js-xss 库进行过滤，包括基础转义、自定义白名单及属性处理。重点在于构建严格的标签与属性白名单，并配合服务端验证。仅靠前端防护不足，需建立双重防线以确保最终安全。

flc发布于 2026/3/24更新于 2026/5/65 浏览

防范措施

我们可以自行封装防范方法，根据项目需求定制标准；也可以借助成熟工具库，更便捷高效。以下整理了几种常用方案的用法。

1. layui util

Layui 的 util.escape() 是核心的 XSS 防护手段，它会将 HTML 中的特殊字符转换为对应的实体，阻止浏览器解析执行恶意脚本，从根源上拦截大部分反射型和存储型攻击。

核心转义的特殊字符

该方法针对 HTML 中最具危险性的字符进行转义，规则如下：

原始字符	转义后	说明
`<`	`<`	标签开始标识
`>`	`>`	标签结束标识
`"`	`"`	属性值包裹
`'`	`'`	属性值包裹
`&`	`&`	实体起始标识

这些字符常被用于注入脚本（如 <script>alert('XSS')</script>），转义后变为纯文本，无法执行。

示例

layui.use('util', function(){ 
    var util = layui.util; 
    // 模拟用户输入的恶意内容
    var maliciousContent = '<script>alert("XSS 攻击");</script><a href="javascript:evil()">恶意链接</a>'; 
    // 转义处理
    var safeContent = util.escape(maliciousContent); 
    console.log(safeContent); 
    // 插入页面时仅显示文本
    document.getElementById('content').innerText = safeContent; 
});

2. js-xss 库

js-xss 能过滤 HTML 字符串、移除危险标签或属性，确保输出的 HTML 安全可渲染。

安装

Node.js 环境

# npm
npm install xss --save
# yarn
yarn add xss

<!-- CDN -->
<script src="https://cdn.jsdelivr.net/npm/xss/dist/xss.min.js"></script>
<!-- 本地 -->
<script src="path/to/xss.min.js"></script>

// Node.js 环境
const xss = require('xss');
// 浏览器环境直接使用全局变量 xss

const dangerousHtml = `
<div onclick="alert('xss')">点击我</div>
<script>stealData()</script>
<img src="x" onerror="alert(1)">
`;

const safeHtml = xss(dangerousHtml);
console.log(safeHtml);
// 输出：<div>点击我</div><img src="x">

const safeHtml = xss(dangerousHtml, {
    whiteList: {
        div: [],      // 允许 div，无属性
        p: ['class'], // 允许 class
        img: ['src', 'alt'] // 允许 src 和 alt
    }
});

const html = '<div onclick="alert(1)">内容</div>';
const safeHtml = xss(html, {
    whiteList: {
        div: ['class', 'data-id'] // 移除 onclick
    }
});
console.log(safeHtml); // <div>内容</div>

const safeHtml = xss(dangerousHtml, {
    onTag: function(tag, html, options) {
        if (tag === 'h1') return ''; // 禁止 h1
        return undefined; // 其他按默认处理
    }
});

const html = '<a href="javascript:alert(1)">链接</a>';
const safeHtml = xss(html, {
    onTagAttr: function(tag, name, value, isWhiteAttr) {
        if (tag === 'a' && name === 'href') {
            if (value.startsWith('javascript:')) {
                return 'href="#invalid"';
            }
        }
        return isWhiteAttr ? `${name}="${xss.escapeAttrValue(value)}"` : '';
    }
});
console.log(safeHtml); // <a href="#invalid">链接</a>

const safeHtml = xss('<p>hello & world</p>', {
    escapeHtml: function(html) {
        return html.replace(/&/g, '&amp;').replace(/</g, '&lt;');
    }
});
console.log(safeHtml); // <p>hello &amp; world</p>

const userComment = `
<p>我的评论</p>
<script>偷取 cookie</script>
<img src=x onerror="alert('xss')">
`;

const safeComment = xss(userComment, {
    whiteList: {
        p: ['class'],
        img: ['src', 'alt']
    }
});
document.getElementById('comment').innerHTML = safeComment;

const richTextWhiteList = {
    h1: ['class'], h2: ['class'], p: ['class', 'style'],
    a: ['href', 'target', 'class'],
    img: ['src', 'alt', 'class', 'width', 'height'],
    strong: [], em: []
};

const richText = '<p>富文本<a href="javascript:alert(1)">危险链接</a></p>';
const safeRichText = xss(richText, {
    whiteList: richTextWhiteList,
    onTagAttr: function(tag, name, value) {
        if (tag === 'p' && name === 'style') {
            if (/^color:\s*[a-zA-Z0-9#]+;?$/.test(value)) {
                return `style="${value}"`;
            }
            return '';
        }
        if (tag === 'a' && name === 'href') {
            if (value.startsWith('javascript:')) {
                return 'href="#"';
            }
            return `href="${value}"`;
        }
        return `${name}="${value}"`;
    }
});