12、前端安全：防范 DOM XSS 与 CSRF 攻击

前端安全：防范 DOM XSS 与 CSRF 攻击

1. 防范 DOM XSS 攻击

1.1 DOM XSS 概述

DOM - based XSS 是一种特殊类型的跨站脚本攻击，与普通 XSS 有所不同，需要专门的处理规则。若在应用程序中大量使用 DOM 操作，就容易受到 DOM XSS 攻击。建议使用专为特定上下文验证设计的 JavaScript 验证库，如 OWASP 的 ESAPI JavaScript 库。

1.2 处理 DOM XSS 的步骤

处理 DOM XSS 可分为两个步骤：
1. 获取数据 ：将数据存入 JavaScript 变量，可使用 JavaScript 编码。例如：

// Step 1 - Get data
var text = '<%- ESAPI.encoder().encodeForJS(unsafe) %>';

2. 使用数据 ：根据使用场景对数据进行清理和编码。例如，直接将未编码的数据插入 innerHTML 是不安全的，需要进行 HTML 编码。

1.3 示例代码及修复

1.3.1 存在漏洞的代码示例

<!DOCTYPE html>
<html>
<head lang=