React 的 XSS 攻击

前言

前端一般会面临 XSS 这样的安全风险，但随着 React 等现代前端框架的流行，使我们在平时开发时不用太关注安全问题。以 React 为例，React 从设计层面上就具备了很好的防御 XSS 的能力。本文将以源码角度，看看 React 做了哪些事情来实现这种安全性的。

XSS 攻击是什么

Cross-Site Scripting（跨站脚本攻击）简称 XSS，是一种代码注入攻击。XSS 攻击通常指的是利用网页的漏洞，攻击者通过巧妙的方法注入 XSS 代码到网页，因为浏览器无法分辨哪些脚本是可信的，导致 XSS 脚本被执行。XSS 脚本通常能够窃取用户数据并发送到攻击者的网站，或者冒充用户，调用目标网站接口并执行攻击者指定的操作。

XSS 攻击类型

反射型 XSS

• XSS 脚本来自当前 HTTP 请求
• 当服务器在 HTTP 请求中接收数据并将该数据拼接在 HTML 中返回时，例子：

   // 某网站具有搜索功能，该功能通过 URL 参数接收用户提供的搜索词：
   https://xxx.

这篇好文章是转载于：学新通技术网