我正在开发一个简单的后期应用程序,使用
ReactNodeJSMySQLReactNodeJSxssJS在数据发送到服务器之前不要在客户端进行清理 - 客户端可以自由运行他们想要的任何 JavaScript 验证代码(包括没有),并可以将他们想要的任何内容 POST 到您的服务器。
一个好的方法是尽快安全地进行消毒。这样做将导致您的数据库存储经过清理的值,这意味着安全性将不依赖于在从数据库渲染某些内容时记住在客户端上进行清理。不过,在渲染时对客户端进行清理不会有任何危害 - 它不会增加任何明显的开销,并且会提供一个额外的层,以防您有一个端点在保存到之前错误地没有清理。数据库。
dangerouslySetInnerHTML 或手动改变 DOM 之类的事情。
话虽如此,当您没有危险的SetInnerHTML之外的其他选择时,您可以采用一些方法来使其更安全,例如使用DOMPurify。
您还可以在将用户生成的内容保存到数据库之前对其进行清理,不仅可以防止 XSS,还可以防止任何类型的 RCE(如果您知道这些值可能会被其他程序使用并希望进行防御)。但对于 React 中的 XSS 我不会太担心,只有通过 React 中的逃生舱口,你才能设法让自己陷入 XSS 问题。这是关于该主题的好读物
https://www.stackhawk.com/blog/react-xss-guide-examples-and-prevention