输入转义实战总结：前端开发中不可忽视的安全细节

输入转义这事儿，差点把我坑惨了

今天来聊聊我最近在项目中遇到的一个关于输入转义的问题。本来以为是个小问题，结果折腾了半天才发现，事情没那么简单。

问题来了，XSS攻击让我头疼

前几天，我在一个表单提交的页面上遇到了一个问题。用户输入了一些奇怪的内容，导致页面出现了XSS（跨站脚本攻击）漏洞。具体来说，用户可以在输入框里输入一些恶意脚本，比如<script>alert('被黑了');</script>，然后这些脚本会在页面上执行，弹出一个警告框。

这里我踩了个坑，一开始我以为是后端的问题，结果后端说他们已经做了处理，应该是前端的问题。于是我开始排查前端代码，发现确实是在渲染用户输入内容的时候没有做好转义。

排查过程，试了好几种方法

首先，我想到的是用HTML实体转义。简单来说，就是把特殊字符转成HTML实体，比如<代表<，>代表>。这样即使用户输入了<script>标签，也会被转义成普通的文本，不会被执行。

我在网上找了几个现成的库，比如he和html-entities，试了一下，效果还行，但感觉有点大材小用了。于是我想自己写个简单的转义函数试试。

function escapeHtml(str) {
  return str.replace(/&/g, '&')
             .replace(/</g, '&lt;')
             .replace(/>/g, '&gt;')
             .replace(/"/g, '&quot;')
             .replace(/'/g, '&#039;');
}

这个函数看起来挺简单的，就是把五个特殊字符转成对应的HTML实体。我试着在页面上使用这个函数，结果确实有效果，用户输入的恶意脚本不会再被执行了。

但是，我又踩了个坑。我发现有些用户的输入里有特殊符号，比如中文引号、表情符号等，这些符号也被转义了，导致显示不正常。看来这个方案还不够完美。

最终解决方案，用DOMPurify搞定

后来试了下发现，有一个叫DOMPurify的库可以很好地解决这个问题。DOMPurify不仅可以转义特殊字符，还能过滤掉危险的HTML标签和属性，保证页面的安全性。

我先在项目里引入了DOMPurify：

import DOMPurify from 'dompurify';

然后在渲染用户输入内容的地方使用DOMPurify进行处理：

const userInput = document.getElementById('user-input').value;
const safeInput = DOMPurify.sanitize(userInput);
document.getElementById('output').innerHTML = safeInput;

这样一来，用户输入的任何内容都会被DOMPurify处理，确保不会有恶意脚本被执行。

我还特意测试了一下各种奇怪的输入，包括中文引号、表情符号等，发现都能正常显示，没有出现之前的转义问题。这下总算放心了。

技术细节，为什么选择DOMPurify

DOMPurify之所以能这么好用，是因为它不仅做了简单的转义，还做了更深层次的过滤。它会检查每一个HTML标签和属性，只允许安全的标签和属性通过，其他的都被移除或转义。

举个例子，如果你的用户输入了<img src="x" onerror="alert('hack')">，DOMPurify会把这个onerror属性去掉，防止脚本执行。这对于防止XSS攻击非常有效。

另外，DOMPurify还有很多配置选项，可以根据需要调整。比如你可以设置白名单，只允许某些标签和属性通过。还可以配置是否允许data: URI，是否允许iframe等。

总之，DOMPurify是一个非常强大且灵活的库，非常适合用来处理用户输入的HTML内容。

结尾，总结一下

以上是我这次踩坑后的总结。其实输入转义这事儿看起来简单，但实际操作起来还是有很多需要注意的地方。如果你有更好的方案或者发现了什么新的坑，欢迎评论区交流。

这个技巧的拓展用法还有很多，后续我会继续分享这类博客。希望这篇博客对你有所帮助。