讲座主题:React 的“潘多拉魔盒”——当 dangerouslySetInnerHTML 遇上 XSS 主讲人: 你的资深代码守护者 / 某某大厂前端架构师(兼任网络安全顾问) 时长: 90分钟(虽然你只需要读这5000字) 听众: React 开发者、前端安全小白、那些以为自己写代码很安全的“老油条”们。 各位同学,各位前端的勇士们,大家下午好! 欢迎来到今天的“安全特训营”。我知道你们平时写代码,心里想的是什么?是 React 的 Hooks,是 Redux 的状态管理,是 Vite 的构建速度,或者是 CSS Grid 那该死的浏览器兼容性。你们觉得这些才是“正经事”。 但今天,我要给你们讲点“不正经”的事。我要讲点能让你半夜惊醒、让你老板在周会上脸色发青的事。 我们要聊的是 XSS(Cross-Site Scripting,跨站脚本攻击),以及 React 里面那个著名的、被骂了几百万次的、甚至可以说是“邪恶”的属性——dangerouslySetInnerHTML。 如果你觉得 React 的安全,那就像你觉得“只要我不看那个报错,它就不存在”一样天真,那你一定要坐直了。 …
继续阅读“React 应用的 XSS 攻击向量:分析 dangerouslySetInnerHTML 在不同内容分发场景下的风险”