编辑页面

XSS

跨站点脚本 (XSS) 是一种攻击类型，攻击者会将客户端 JavaScript 注入您的网站，从而在用户的浏览器可信环境中运行。

防御 XSS 攻击

防止 XSS 攻击最干净的方法是在注入点对不受信任的数据进行转义。这意味着在将数据实际注入 HTML 的位置进行转义。

服务器端

将数据注入服务器端视图时...

使用 <%= %> 对数据进行 HTML 编码

<h3 is="welcome-msg">Hello <%= me.username %>!</h3>

<h4><%= owner.username %>'s projects:</h4>
<ul><% _.each(projects, function (project) { %>
  <li>
    <a href="/<%= owner.username %>/<%= project.slug %>"><%= project.friendlyName %></a>
  </li>
<% }); %></ul>

将视图局部变量暴露给客户端 JavaScript 时...

使用 exposeLocalsToBrowser 部分安全地将部分或所有视图局部变量暴露给客户端 JavaScript

<%- exposeLocalsToBrowser(); %>

<script>
console.log(window.SAILS_LOCALS);
// {
//   me: {
//     username: 'eleven',
//     memberSince: '1982-08-01T05:00:00.000Z'
//   },
//   owner: {
//     username: 'joyce',
//     memberSince: '1987-11-03T05:00:00.000Z'
//   },
//   projects: [
//     {
//       slug: 'my-neat-stuff-n-things',
//       friendlyName: 'My neat stuff & things',
//       description: 'Yet another project.'
//     },
//     {
//       slug: 'kind-of-neat-stuff-but-not-that-great',
//       friendlyName: 'Kind of neat stuff, but not that great...',
//       description: 'I am so sick and tired of these project. <script>alert(\'attack\');</script>'
//     }
//   ],
//   _csrf: 'oon95Uac-wKfWQKC5pHx1rP3HsiN9tjqGMyE'
// }
</script>

请注意，当您使用此策略时，视图局部变量中的字符串在暴露给客户端 JavaScript 后将不再进行 HTML 解码。这是因为您需要在将它们粘贴到 DOM 中时再次对其进行转义。如果您始终在注入点进行转义，则这些内容将更容易跟踪。这样，您就可以安全地转义从客户端 JavaScript 注入 DOM 的任何字符串。（下面将详细介绍。）

客户端

许多 XSS 防御措施与您在客户端代码中执行的操作有关。以下是一些示例

将数据注入客户端 JST 模板时...

使用 <%- %> 对数据进行 HTML 编码

<div data-template-id="welcome-box">
  <h3 is="welcome-msg">Hello <%- me.username %>!</h3>
</div>

使用客户端 JavaScript 修改 DOM 时...

使用类似 $(...).text() 的方法对数据进行 HTML 编码

var $welcomeMsg = $('#signup').find('[is="welcome-msg"]');
welcomeMsg.text('Hello, '+window.SAILS_LOCALS.me.username+'!');

// Avoid using `$(...).html()` to inject untrusted data.
// Even if you know an XSS is not possible under particular circumstances,
// accidental escaping issues can cause really, really annoying client-side bugs.

您可能已经意识到，上面的示例假设您使用的是 jQuery，但无论您使用哪种前端库，相同的概念都适用。

其他资源

说明

上面的示例假设您使用默认视图引擎 (EJS) 和来自默认资产管道中的客户端 JST/Lodash 模板。

有遗漏吗？

如果您发现我们遗漏了什么或需要改进的地方，请点击此链接并向 sails 库提交拉取请求。我们合并后，更改将在下次部署网站时反映在网站上。

文档

概念

用心打造

Sails 框架由来自德克萨斯州奥斯汀的网络和移动开发公司与我们的贡献者共同打造。我们在 2012 年创建了 Sails，以帮助我们在 Node.js 项目中。自然而然，我们开源了它。我们希望它能让你的生活更轻松！

XSS