JavaScript防止代码注入方法解析

JavaScript本身无法主动防御代码注入，真正的防护关键在于彻底杜绝将不可信字符串当作代码执行——禁用eval()、Function()、setTimeout(string)等危险函数，优先使用textContent处理文本、DOMPurify或转义机制处理HTML插入，并严格采用JSON.parse()解析数据；同时配合CSP策略禁用'unsafe-eval'和'unsafe-inline'，从源头切断XSS与代码注入的执行路径。

JavaScript本身不能直接防止代码注入攻击，关键在于不执行不可信的字符串作为代码。常见错误是用eval()、Function()、setTimeout(string)或setInterval(string)动态运行用户输入的内容。

避免动态执行字符串代码

这是最核心的防护原则。任何来自用户、URL参数、表单、API响应或本地存储的数据，都不能直接传给以下函数：

• eval()
• new Function(...)
• setTimeout(string, ...) 或 setInterval(string, ...)
• document.write()（尤其拼接用户数据时）

例如，不要这样写：

const userInput = 'alert("xss")';
eval(userInput); // 危险！

安全处理HTML和DOM插入

向页面插入用户内容时，必须防止XSS（跨站脚本）——本质也是一种代码注入。

• 用textContent代替innerHTML，当只需显示纯文本时
• 若必须插入HTML，先对特殊字符做转义（如< → <），或使用可信的库如DOMPurify
• 避免用字符串拼接构造HTML，改用document.createElement() + appendChild() + textContent

例如：

const el = document.createElement('div');
el.textContent = userInput; // 自动转义，安全

谨慎使用JSON解析与模板引擎

JSON.parse()本身安全（只要输入是合法JSON），但注意别用eval()模拟解析；模板引擎如Handlebars、Mustache默认会自动转义变量，但需确认未关闭转义（如Handlebars中{{{ }}}是不转义的，慎用）。

• 永远用JSON.parse()，不用eval('(' + jsonStr + ')')
• 检查模板语法是否启用了“原始输出”，避免把用户数据不经转义渲染成HTML
• 服务端返回的数据，前端仍需当作不可信内容处理，不因“自己后端发的”就放松校验

启用CSP（内容安全策略）作为纵深防御

CSP不是JS代码层面的修复，但能大幅降低注入成功后的危害。通过HTTP响应头设置：

Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'

应移除'unsafe-eval'和'unsafe-inline'，改用外部JS文件和事件委托。

• 禁止内联脚本（、onclick="..."）
• 禁止eval类函数执行
• 配合非ces-only的哈希或nonce机制更稳妥

以上就是《JavaScript防止代码注入方法解析》的详细内容，更多关于的资料请关注golang学习网公众号！