1,核心漏洞整改:XSS(跨站脚本攻击)
XSS 是前端最频发的漏洞,核心是 “注入恶意脚本并执行”,需从输入过滤、输出编码、执行限制三方面阻断
解决 1 表单谁需要转义 2,强制过滤URL参数
比如Vue中 不使用V-html
若需渲染富文本(如编辑器内容),推荐使用DOMPurify库
限制脚本运行权限
进允许自己域名加载脚本,禁止内联
避免使用eval()、new Function()、setTimeout(string)等可执行字符串的 API,改用函数直接调用
2 csrf
前端需要拦截 自动添加csrfToken
依赖包安全:避免 “供应链攻击”
比如lodash、jquery的历史漏洞
需要手动重写常用的
注意package-lock.json 需要锁定依赖,重新提交时候需要严格筛选 进行安全扫描
前端敏感数据不存在 内存
接口方面不返回敏感数据 比如说密码 ID等
X-Frame-Options 禁止签入 Frame