编辑“︁JavaScript安全基础”︁（章节）

== 常见JavaScript安全威胁及防御 ==

=== 1. 跨站脚本攻击（XSS） ===

XSS攻击是指攻击者向网页中注入恶意脚本，当其他用户访问该页面时，脚本会在其浏览器中执行。XSS分为三种类型：
* '''存储型XSS'''：恶意脚本存储在服务器上，每次访问页面时执行。
* '''反射型XSS'''：恶意脚本通过URL参数传递并立即执行。
* '''DOM型XSS'''：恶意脚本通过修改DOM结构执行。

==== 示例：反射型XSS ====
以下是一个简单的反射型XSS漏洞示例：
<syntaxhighlight lang="javascript">
// 不安全的代码：直接从URL参数中获取用户输入并显示
const userInput = new URLSearchParams(window.location.search).get('input');
document.getElementById('output').innerHTML = userInput;
</syntaxhighlight>
如果攻击者构造以下URL：
<code>https://example.com/?input=<script>alert('XSS Attack!');</script></code>
用户访问该URL时，恶意脚本会执行。

==== 防御措施 ====
* 使用<code>textContent</code>代替<code>innerHTML</code>，避免解析HTML标签。
* 对用户输入进行转义或编码（如使用<code>encodeURIComponent</code>）。
* 使用内容安全策略（CSP）限制脚本执行。

=== 2. 跨站请求伪造（CSRF） ===

CSRF攻击利用用户的登录状态，诱使用户在不知情的情况下发送恶意请求。例如，攻击者可以构造一个表单，在用户访问时自动提交，执行转账操作。

==== 示例：CSRF攻击 ====
假设银行网站有一个转账接口：
<syntaxhighlight lang="javascript">
// 不安全的转账接口（假设用户已登录）
fetch('/transfer', {
    method: 'POST',
    body: JSON.stringify({ amount: 1000, to: 'attacker' })
});
</syntaxhighlight>
攻击者可以在自己的网站上嵌入以下代码：
<syntaxhighlight lang="html">
<!-- 恶意页面 -->
<form action="https://bank.com/transfer" method="POST">
    <input type="hidden" name="amount" value="1000">
    <input type="hidden" name="to" value="attacker">
</form>
<script>document.forms[0].submit();</script>
</syntaxhighlight>

==== 防御措施 ====
* 使用CSRF令牌（随机字符串，每次请求验证）。
* 检查<code>Origin</code>或<code>Referer</code>头部。
* 使用SameSite Cookie属性限制跨站请求。

=== 3. 数据泄露 ===

JavaScript可能因不安全的API调用或逻辑错误泄露敏感数据。例如：
<syntaxhighlight lang="javascript">
// 不安全的代码：将敏感数据存储在全局变量中
var apiKey = '12345-abcde';
</syntaxhighlight>
攻击者可以通过控制台直接访问<code>apiKey</code>。

==== 防御措施 ====
* 避免将敏感数据存储在客户端。
* 使用环境变量或后端服务管理密钥。
* 最小化暴露的数据范围。