JavaScript安全编码指南：风险与防范技巧

学习知识要善于思考，思考，再思考！今天golang学习网小编就给大家带来《JavaScript安全编码指南：常见风险与防范方法》，以下内容主要包含等知识点，如果你正在学习或准备学习文章，就都不要错过本文啦~让我们一起来看看吧，能帮助到你就更好了！

JavaScript无安全模式，须主动防御：禁用eval/Function、避免innerHTML拼接、校验URL跳转、强制CSP策略。

JavaScript 本身没有“安全模式”，写不安全的代码非常容易，而修复往往在漏洞被利用后才开始——关键不是“怎么写安全”，而是“哪些地方默认就不安全，必须主动防御”。

避免 eval() 和 Function() 动态执行字符串

这两者会把任意字符串当作 JS 代码执行，一旦输入来自用户（比如 URL 参数、表单、localStorage），就等于给攻击者开了控制台。

• eval("alert('xss')") 是显式危险，但更隐蔽的是 new Function('return ' + userInput)()
• 替代方案：用 JSON.parse() 解析 JSON 字符串；需要动态逻辑时，用查表法或预定义函数映射
• 注意：setTimeout(string, delay) 和 setInterval(string, delay) 内部也调用 eval，一律改用函数形式

防范 DOM XSS：别用 innerHTML 插入不可信内容

浏览器不会校验你塞进 innerHTML 的字符串是否含恶意脚本， 会直接执行。

• 优先使用 textContent 渲染纯文本
• 若必须插入 HTML（如富文本编辑器输出），用专用库如 DOMPurify.sanitize() 过滤，不要自己正则替换
• 避免拼接字符串生成 HTML：el.innerHTML = '
  ' + userInput + '
  ' —— 即使转义了 < 和 >，仍可能绕过（比如通过 < 或事件属性）

谨慎处理用户输入的 URL 和 location 操作

window.location.href = userInput 或 绑定未过滤的链接，可能导致跳转到钓鱼页或执行 javascript:alert(1) 伪协议。