XSSは、入力精製、出力エンコード、CSPポリシー、およびinnerhtmlの回避によって防止できます。 2。CSRFは、抗CSRFトークン、サメサイトCookie、および検証リクエストソースによって防御できます。 3.定期的な更新、セキュアなスキャンツール、依存関係の數(shù)を減らすことで、安全な依存関係を管理する必要があります。 4.フロントエンドにキーを保存せず、バックエンド処理に機(jī)密ロジックを使用することにより、クライアントデータの漏れを避ける必要があります。 5。評(píng)価などの動(dòng)的実行は無(wú)効にし、代わりにセキュリティの代替品を使用する必要があります。 6.オープンリダイレクトには、URLとホワイトリストの検証が必要です。 7.認(rèn)証セッションでは、HTTPonly、Secure、Samesite Cookieを使用し、短いライフサイクルトークンを使用する必要があります。全體的な原則は、ユーザーの入力を不信感を抱き、敏感な情報(bào)をクライアントに公開(kāi)せず、それによってほとんどのJavaScriptのセキュリティの脆弱性を効果的に防止することです。

JavaScriptは、クライアント側(cè)とサーバー側(cè)の両方で実行される強(qiáng)力な言語(yǔ)ですが、その柔軟性と広範(fàn)な使用により、攻撃者にとって頻繁なターゲットになります。 JavaScriptアプリケーションで最も一般的なセキュリティの脆弱性の一部と、それらを防ぐ方法を以下に示します。

1。クロスサイトスクリプト（XSS）

それは何ですか：
XSSは、攻撃者が他のユーザーが閲覧したWebページに悪意のあるスクリプトを注入するときに発生します。これは、適切な消毒なしでユーザー入力が表示されると発生する可能性があります。

種類：

• 反映されたXSS：悪意のあるスクリプトは、Webサーバー（URLパラメーターを介して）から反映されます。
• 保存されたXSS：スクリプトはサーバーに永久に保存されます（例：コメントやメッセージ）。
• DOMベースのXSS：脆弱性は、DOMを安全ではない操作するクライアント側(cè)コードに存在します。

それを防ぐ方法：

• ユーザー入力の消毒：レンダリング前にdompurifyなどのライブラリを使用してHTMLコンテンツをクリーニングします。
• エスケープ出力：ユーザーデータをHTMLに挿入するときに、特殊文字（ 、 <code>> 、 & ）をエンコードします。
• コンテンツセキュリティポリシー（CSP）を使用： CSPヘッダーを追加して、サイトで実行できるスクリプトを制限します。
• 可能であればinnerHTML避けます。代わりにtextContentを使用して、スクリプトの実行を防ぎます。

例：
element.innerHTML = userInputの代わりに、htmlが不要な場(chǎng)合はelement.textContent = userInputを使用します。

2。クロスサイトリクエスト偽造（CSRF）

それは何ですか：
攻撃者は、ユーザーのブラウザをだまして、ユーザーが認(rèn)証されているサイトに不要なリクエストを作成します（たとえば、パスワードの変更または支払いを行う）。

それを防ぐ方法：

• Anti-CSRFトークンを使用してください：セッションごとに一意のトークンを生成し、狀態(tài)を変えるリクエストのためにサーバー上でそれらを検証します。
• SameSite Cookie屬性を確認(rèn)します： SameSite=StrictまたはLaxでCookieを設(shè)定して、クロスサイトのリクエストで送信されないようにします。
• OriginおよびReferer Headerを確認(rèn)する：サーバーで、信頼できるドメインからリクエストが発生することを確認(rèn)します。

注：CSRFはバックエンドの問(wèn)題ですが、FrontEnd JavaScriptはトークンがリクエストに適切に含まれるようにすることで役立ちます。

3.不安定な依存関係

それは何ですか：
多くのJavaScriptプロジェクトは、サードパーティのパッケージに依存しています（NPM経由）。依存関係に既知の脆弱性がある場(chǎng)合、アプリ全體を補(bǔ)正できます。

それを防ぐ方法：

• 定期的に依存関係を更新する： npm outdatedやyarn outdatedなどのツールを使用して、更新をチェックします。
• セキュリティスキャナーを使用： npm audit 、 snyk 、またはdependabotなどのツールは、脆弱なパッケージを検出および修正できます。
• 依存関係の最小化：必要なもののみをインストールします。FEWERパッケージにより、攻撃面が少なくなります。

ヒント： package-lock.jsonまたはyarn.lockでバージョンをロックしますが、定期的に更新を確認(rèn)してください。

4。クライアント側(cè)のデータ露出

それは何ですか：
クライアント側(cè)のJavaScriptで誤って露出している機(jī)密データ（APIキー、トークン、內(nèi)部ロジックなど）。

それを防ぐ方法：

• フロントエンドコードに秘密を保存しないでください： APIキー、データベース資格情報(bào)、または認(rèn)証トークンは、クライアント側(cè)JSに表示されないでください。
• 環(huán)境変數(shù)を慎重に使用します：覚えておいてください、フロントエンドの.envファイル（例：反応）はバンドルされ、ユーザーに見(jiàn)えることを覚えておいてください。
• 機(jī)密ロジックをバックエンドに移動(dòng)します。バックエンドAPIを使用して、認(rèn)証、支払い、またはデータ処理を処理します。

例：
キーを使用してブラウザからサードパーティAPIを直接呼び出す代わりに、獨(dú)自のサーバーを介してリクエストをルーティングします。

5. eval()および動(dòng)的コード実行の不安定な使用

それは何ですか：
eval() 、 Function() 、 setTimeout(string) 、またはsetInterval(string)などの関數(shù)は、任意のコードを?qū)g行できます。これは、ユーザー入力が関與している場(chǎng)合に危険です。

それを防ぐ方法：

• eval()を完全に避けてください：ほとんど常に安全な代替品があります。
• データのみにjson.parse（）を使用します。JSONを解析する場(chǎng)合は、 JSON.parse()に固執(zhí)し、入力を検証します。
• より安全な代替品を使用する：動(dòng)的ロジックについては、コード実行の代わりにルックアップテーブルまたは構(gòu)成オブジェクトを使用することを検討してください。

例：
eval('myFunction()')の代わりに、厳格なホワイトリストでwindow[funcName]()を使用します。

6.オープンリダイレクトとDOM操作

それは何ですか：
JavaScriptがユーザー入力を使用してwindow.locationを変更したり、検証せずにURLを操作したりすると、攻撃者はユーザーを悪意のあるサイトにリダイレクトできます。

それを防ぐ方法：

• リダイレクトURLSを検証および消毒する：信頼できるドメインまたは相対パスにリダイレクトのみを許可します。
• ユーザー入力に基づいた動(dòng)的ナビゲーションは避けてください。必要な場(chǎng)合は、有効な宛先のAllowListを使用してください。

例：
window.location = userInputの代わりに、事前定義されたセーフパスに入力をマップします。

7.安全でない認(rèn)証とセッションの処理

それは何ですか：
トークンの管理が不十分で（例えば、JWTSをlocalStorageに保存する）、XSSを介した盜難につながる可能性があります。

それを防ぐ方法：

• トークンにはhttpOnly Cookieを使用します。これにより、JavaScriptを介したアクセスが防止され、XSSリスクが低下します。
• リフレッシュトークンで短命のトークンを?qū)g裝します：トークンが侵害された場(chǎng)合のダメージを最小限に抑えます。
• 機(jī)密データのlocalStorageを避けてください： JavaScriptを介してアクセス可能で、XSSに対して脆弱です。

注： httpOnly Secure SameSite Cookieは、セッショントークンのゴールドスタンダードです。

最終的なヒント

• 最新のフレームワークを安全に使用します： React、Angular、およびVueにはXSS保護(hù)が組み込まれています（たとえば、自動(dòng)脫出）がありますが、それらは絶対確実ではありません。
• 厳格なセキュリティヘッダーを有効にします： CSP、X-Content-Type-Options、X-Frame-Optionsなどのヘッダーを使用します。
• チームを教育します：セキュリティはすべての人の責(zé)任です。セキュリティを念頭に置いてレビューコードを參照してください。

基本的に、ほとんどのJavaScriptのセキュリティの問(wèn)題は、ユーザーの入力を信頼したり、クライアント側(cè)にあまりにも多くの露出をしたりすることになります。サーバー側(cè)の秘密を検証、消毒、および維持することにより、共通の脆弱性の大部分を回避できます。

以上がJavaScriptの一般的なセキュリティの脆弱性は何ですか？また、どのようにそれらを防ぐことができますか？の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。