𝗥𝗲𝗮𝗰𝘁 𝘃𝘀. 𝗫𝗦𝗦: 𝗪𝗵𝗲𝗿𝗲 𝘁𝗵𝗲 𝗚𝘂𝗮𝗿𝗱𝗿𝗮𝗶𝗹𝘀 𝗘𝗻𝗱
React 默认是安全的。它会对 JSX 中的值进行转义,以阻止大多数脚本注入。但这会产生一种虚假的安全感。React 降低了 XSS 风险,但并不能完全消除它。
XSS 攻击主要有三种类型:
- 反射型 XSS (Reflected XSS):攻击者发送一个恶意链接。服务器立即将脚本返回给用户。由于该脚本看起来像是来自受信任的网站,浏览器会执行它。
- 存储型 XSS (Stored XSS):攻击者将脚本保存在你的服务器上。它存在于你的数据库、评论或日志中。每个查看该内容的用户的浏览器都会运行该脚本。
- 基于 DOM 的 XSS (DOM Based XSS):攻击完全发生在浏览器中。攻击者通过更改 URL 参数或客户端输入,使你的 JavaScript 产生异常行为。
React 究竟能为你提供哪些保护?
- 自动转义:React 将字符串视为纯文本。如果你尝试在 JSX 中注入 Ask GyaanSetu AI · answers with sources