2021 年保护 JavaScript 安全性的 7 个步骤-技术圈

点击上方关注技术漫谈，一起进步

今天分享的内容是如何保护 JavaScript 的安全性。

正文

今天，JavaScript的使用无处不在。它在你的浏览器和后端运行。

此外，JavaScript是一个高度依赖第三方库的生态系统。因此，确保JavaScript的安全需要遵循最佳实践来减少攻击。但是，我们如何保持JavaScript应用程序的安全？让我们来了解一下。

1. JavaScript的完整性检查

作为一个前端开发者，你可能已经使用< script >标签来导入第三方库。你想过这样做的安全风险吗？如果第三方资源被篡改了怎么办？是的，当你在你的网站上渲染外部资源时，这些事情都可能发生。因此，你的网站可能会面临一个安全漏洞。作为对此的安全措施，你可以在你的脚本中添加一个完整性（也称为子资源完整性--SRI）代码，如下所示。

<script
  src="https://code.jquery.com/jquery-3.3.1.slim.min.js"
  integrity="sha384-q8i/X+965DzO0rT7abK41JStQIAqVgRVzpbzo5smXKp4YfRvH+8abtTE1Pi6jizo"
  crossorigin="anonymous">
</script>

完整性属性允许浏览器检查获取的脚本，以确保如果源头被篡改，代码永远不会被加载。

注意：还是要确保你最初引用的代码不包含任何漏洞。

2. 经常测试NPM的漏洞

我希望你们都知道，我们可以使用npm audit 命令来检测所有安装的依赖关系的漏洞。它提供漏洞报告，并为它们提供修复。

但你多长时间做一次呢？

除非我们把它自动化，否则这些漏洞会堆积起来，使之难以修复。记住，其中一些甚至可能是关键的，允许严重的漏洞。作为一个解决方案，你可以在你的CI中为每个拉动请求运行NPM来识别漏洞。因此，你可以防止任何漏洞不被注意到。

NPM audit security report example

然而，有一些漏洞需要开发人员的手动干预才能解决。

GitHub的一个额外举措

最近，GitHub推出了一个名为Dependabot的机器人，自动扫描NPM的依赖关系，并通过电子邮件通知你，说明风险。

One such email I have gotten for one of my projects

3. 保持次要和补丁版本更新

你有没有见过任何NPM软件包版本前面的^或~符号？

这些符号表示对次要版本和补丁版本（取决于符号）的自动版本提升。从技术上讲，次要版本和补丁版本都是向后兼容的，减少了给应用程序引入错误的风险。

由于大多数第三方库发布的热修复漏洞都是补丁版本的颠簸，至少启用自动补丁更新有助于降低安全风险。

4. 具备验证功能以避免注入病毒

作为一条经验法则，我们不应该只依赖客户端验证，因为攻击者可以根据需要改变它们。然而，通过对每个输入的验证，可以省略一些JavaScript注入。

例如，如果你在评论区输入带有引号的东西< script > </script/> ，这些引号将被替换成双引号 << scrip t>< /script>>。那么输入的JavaScript代码将不会被执行。这被称为跨网站脚本（XSS）。

同样地，还有一些其他常见的方法来进行JavaScript注入:

使用开发人员的控制台来插入或更改JavaScript。
在地址栏中输入 "javascript:SCRIPT"。

防止JS注入对保持你的应用程序的安全是很重要的。

就像我之前提到的，有验证的地方是防止它的一个方法。

例如，在保存任何输入到数据库之前，用 &lt ; 替换所有 < ，用 &gt ; 替换所有 >。

内容安全策略（CSP）是另一种避免恶意注入的方法。使用CSP是非常直接的，如下所示。

Content-Security-Policy: trusted-types;
Content-Security-Policy: trusted-types 'none';
Content-Security-Policy: trusted-types <policyName>;
Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates';

关于CSP的更多信息，请参考这些指南。