10個(gè)React安全實(shí)踐
你在找保護(hù) React 應(yīng)用程序的最佳方法嗎?那你找對(duì)地方了!
我創(chuàng)建了這個(gè) React 安全最佳實(shí)踐清單,以幫助你和你的團(tuán)隊(duì)發(fā)現(xiàn)并解決 React 應(yīng)用中的安全問題。這篇文章將展示如何自動(dòng)測試你的 React 代碼中的安全問題,并修復(fù)它們。
讓我們開始吧。
- 數(shù)據(jù)綁定( Data Binding)默認(rèn)的xss保護(hù)
- 危險(xiǎn)的URL
- 渲染html
- 直接訪問dom
- 服務(wù)端渲染
- 檢測依賴項(xiàng)中的漏洞
- JSON State
- 檢測React易受攻擊版本
- linter工具
- 危險(xiǎn)的庫代碼
1、數(shù)據(jù)綁定( Data Binding)默認(rèn)的 xss 保護(hù)
使用默認(rèn)的{}進(jìn)行數(shù)據(jù)綁定,React會(huì)自動(dòng)對(duì)值進(jìn)行轉(zhuǎn)義以防止XSS攻擊。但注意這種保護(hù)只在渲染textContent時(shí)候有用,渲染HTML attributes的時(shí)候是沒用的。
使用數(shù)據(jù)綁定語法{}將數(shù)據(jù)在組件中。
這樣做:
- <div>{data}</div>
避免沒有經(jīng)過自定義驗(yàn)證的動(dòng)態(tài)HTML attributes值。
別這樣做:
- <form action={data}>...
2、危險(xiǎn)的URL
URL是可以通過javascript:協(xié)議來引入動(dòng)態(tài)腳本的。所以需要驗(yàn)證你的連接是否是http:或者h(yuǎn)ttps:以防止javascript:url的腳本注入。使用原生的URL parsing方法進(jìn)行URL驗(yàn)證,判斷其協(xié)議是否在你的白名單中。
這樣做:
- function validateURL(url) {
- const parsed = new URL(url)
- return ['https:', 'http:'].includes(parsed.protocol)
- }
- <a href={validateURL(url) ? url : ''}>Click here!</a>
別這樣做:
- <a href={attackerControlled}>Click here!</a>
3、渲染html
React是可以通過dangerouslySetInnerHTML將html代碼直接渲染到dom節(jié)點(diǎn)中的。但以這種方式插入的任何內(nèi)容都必須事先消毒。
在將任何值放入dangerouslySetInnerHTML屬性之前,需要用dompurify對(duì)其消毒。
在插入html時(shí)用dompurify進(jìn)行處理
- import purify from "dompurify";
- <div dangerouslySetInnerHTML={{ __html:purify.sanitize(data) }} />
4、直接訪問dom
應(yīng)該避免訪問DOM然后直接將內(nèi)容注入DOM節(jié)點(diǎn)。如果你一定要插入HTML,那就先用dompurify消毒,然后再用dangerouslySetInnerHTML屬性。
這樣做:
- import purify from "dompurify";
- <div dangerouslySetInnerHTML={{__html:purify.sanitize(data) }} />
不要使用refs 和findDomNode()去訪問渲染出來的DOM元素,然后用類似innerHTML的方法或者屬性去注入內(nèi)容。
別這樣做:
- this.myRef.current.innerHTML = attackerControlledValue;
5、服務(wù)端渲染
在使用像ReactDOMServer.renderToString()和ReactDOMServer.renderToStaticMarkup()這類方法的時(shí)候,數(shù)據(jù)綁定會(huì)自動(dòng)提供內(nèi)容轉(zhuǎn)義的功能。
避免在將字符串發(fā)送到客戶端瀏覽器進(jìn)行注水(hydration)之前,把其他的一些(未經(jīng)檢驗(yàn)的)字符串連接到renderToStaticMarkup()的輸出上。
不要把未經(jīng)消毒的數(shù)據(jù)連接到renderToStaticMarkup()的輸出上,以防止XSS
- app.get("/", function (req, res) {
- return res.send(
- ReactDOMServer.renderToStaticMarkup(
- React.createElement("h1", null, "Hello World!")
- ) + otherData
- );
- });
6、檢測依賴項(xiàng)中的漏洞
一些第三方組件的某些版本可能包含安全問題。檢查您的依賴關(guān)系,并及時(shí)更新到更好的版本。
使用類似snyk CLI[1]的工具進(jìn)行漏洞檢查。
snyk CLI 還可以與代碼管理系統(tǒng)集成,然后自動(dòng)修復(fù)漏洞:
$ npx snyk test
7、JSON state
將JSON數(shù)據(jù)與SSR后的React頁面一起發(fā)送是常見做法。一定要用無害的等價(jià)字符轉(zhuǎn)移<字符。
使用良性等效字符轉(zhuǎn)義JSON中的HTML有效值:
- window.__PRELOADED_STATE__ = ${JSON.stringify(preloadedState).replace( /</g, '\\u003c')}
8、易受攻擊的React版本
React庫在過去有一些嚴(yán)重性很高的漏洞,因此最好保持最新版本。
使用npm outdated查看是否處于最新版本,從而避免使用react和react dom的易受攻擊版本。
9、linter工具
安裝能自動(dòng)檢測代碼中的安全問題并提供修正建議的Linter配置和插件。
使用 ESLint React security config[2] 來檢查安全漏洞。
配置能在使用husky這樣的庫檢測到安全相關(guān)的問題時(shí),會(huì)失敗的pre-commit鉤子。
使用Snyk自動(dòng)更新版本[3] 當(dāng)其檢查到你當(dāng)前的版本有安全問題。
10、危險(xiǎn)的庫代碼
庫代碼通常會(huì)進(jìn)行危險(xiǎn)的操作,如直接將HTML插入DOM。人工或使用linter工具來檢查庫代碼,以檢測是否有對(duì)React機(jī)制的不安全使用。
避免那些使用dangerouslySetInnerHTML、innerHTML、未驗(yàn)證的URL或其他不安全模式的庫。使用linter工具對(duì)node_modules目錄進(jìn)行檢查。
后話
以上就是我要分享的10個(gè)React安全實(shí)踐。你在 React 安全方面有哪些經(jīng)驗(yàn),歡迎在評(píng)論中分享出來。
