React组件直接渲染用户输入导致XSS漏洞,修复后为何仍被漏洞赏金计划标记?
我在处理用户评论展示功能时,直接用dangerouslySetInnerHTML渲染了后端返回的内容,后来在漏洞赏金测试中被指出存在XSS漏洞。
虽然我已经改用DOMPurify清理内容,但测试时还是能注入脚本,这到底是哪里没处理到位?
import DOMPurify from 'dompurify';
function Comment({ content }) {
const sanitized = DOMPurify.sanitize(content); // 尝试了净化处理
return (
<div>
{sanitized} {/* 直接输出净化后的HTML */}
{/* 测试时输入alert(1)仍能触发弹窗 */}
</div>
);
}
export default Comment;
难道不应该用文本转义的方式?或者DOMPurify的配置有问题?其他同事说应该用React的内置机制处理…
- 1
回答
30浏览
React中如何防止使用window.location.search导致的DOM型XSS?
我在React组件里用URL参数显示用户输入,发现这样写可能有XSS漏洞: function SearchResults() { const searchParam = new URLSearchPa...
- 1
回答
4浏览
React组件直接渲染URL参数时如何防范DOM型XSS攻击?
我在做搜索功能时遇到个问题,用户输入的搜索词会通过URL参数保存,然后用React组件显示出来。但测试时发现如果在地址栏输入类似search?query=<script>alert(1)&...
- 1
回答
14浏览
Nessus扫描显示React组件存在XSS漏洞,但代码已经过滤输入了怎么办?
大家好,我在用Nessus扫描公司前端项目时,发现一个React组件被标记为XSS漏洞。但代码明明已经用了DOMPurify过滤输入,这是怎么回事? 我的代码是这样的: import DOMPurif...
- 2
回答
40浏览
SAST扫描总报React组件XSS漏洞,但代码明明转义了怎么办?
最近给React项目配置了SAST工具,扫描时总提示组件存在XSS风险。代码里已经用dangerouslySetInnerHTML包裹了sanitization函数处理的数据,为什么还是报这个漏洞? ...
- 2
回答
16浏览
React里设置了X-XSS-Protection头页面却变空白了?
最近在给React项目加固安全配置,按教程加了X-XSS-Protection头,结果页面直接变空白了。明明后端已经设置过响应头,为什么前端代码里再配置就会出问题? 我尝试在App.js里这样写: f...
- 1
回答
28浏览
React函数组件中如何避免因函数重新创建导致子组件频繁渲染?
我在开发一个React项目时发现,父组件传递的函数每次重新渲染都会生成新引用,导致子组件不必要的重复渲染。比如下面这个搜索框组件: function SearchBar({ onSearch }) {...
- 1
回答
4浏览
React中使用Performance API记录组件渲染时间,为什么测量结果总是0?
我在React组件里用performance.mark测渲染时间,代码看起来没问题,但结果总显示0毫秒。比如在useEffect里开始和结束标记,但控制台打印的差值一直是0。 function MyC...
- 2
回答
51浏览
React路由切换后组件重复加载如何缓存?
我用React Router做单页应用时,发现每次切换用户ID路由,组件都会重新加载导致数据丢失。比如访问/user/123后返回/user/456,再切回去时数据得重新请求。试过用useState保...
- 1
回答
26浏览
用户输入的javascript:伪协议怎么防不住XSS?
在React项目里处理用户提交的留言内容时,发现如果用户输入类似javascript:alert(1)这样的内容,直接渲染后居然真的会执行脚本。虽然用了DOMPurify清理和转义特殊字符,但测试输入...
- 2
回答
28浏览
Ionic中React组件输入框失去焦点后键盘不关闭怎么办?
在用Ionic React开发表单页面时遇到个怪问题,输入框失去焦点后键盘不自动收起。比如用户填完信息点击提交按钮,虽然输入框的blur事件触发了,但键盘还是卡着不消失。 我试过给输入框手动调用blu...
DOMPurify.sanitize返回的 HTML 字符串塞进了 JSX 里,但没有正确处理它。React 默认会转义所有插入 JSX 的内容,防止 XSS 攻击。而你用了dangerouslySetInnerHTML这个 API,相当于绕过了 React 的安全机制。虽然你加了
DOMPurify做净化,但如果配置不当或者环境有问题,还是可能被绕过。最靠谱的做法是避免直接渲染 HTML,除非你非常确定内容是安全的。修复方案其实很简单,别用
dangerouslySetInnerHTML,而是直接用 React 的内置机制渲染纯文本。代码可以改成这样:如果你确实需要支持富文本(比如加粗、链接这种),可以用
DOMPurify配合dangerouslySetInnerHTML,但要确保配置正确。比如这样:这里的关键点有两个:
1.
DOMPurify的配置要用USE_PROFILES,限制只允许安全的 HTML 标签和属性。2. 确保你的项目运行在现代浏览器环境下,因为
DOMPurify在老旧浏览器中可能存在兼容性问题。最后提醒一句,XSS 防护不只是前端的事,后端也要对用户输入做校验和过滤。前后端都做好防护才是真正的双保险。