Express 使用 XSS 模块进行安全过滤

xss 是一个流行的 Node.js 模块，用于帮助开发者清理 HTML 输入，防止跨站脚本攻击（XSS）。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、格式控制相关的 HTML 的场景，xss模块通过白名单来控制允许的标签及相关的标签属性，另外还提供了一系列的接口以便用户扩展。

安装 xss 模块

首先，你需要通过 npm 安装 xss 模块。在你的项目目录中打开终端，然后运行以下命令：

npm install xss

使用 xss 模块

安装完成后，你可以开始使用它来清理用户输入。下面是一些基本示例：

基本用法

const xss = require('xss');

// 清洗字符串
const cleanString = xss('<script>alert("XSS!");</script>');
console.log(cleanString); // 输出: '&lt;script&gt;alert(&quot;XSS!&quot;);&lt;/script&gt;'

自定义配置

你可以通过传入配置选项来自定义 xss 的行为。例如，你可以选择保留某些标签或者设置白名单策略：

const xss = require('xss');

const options = {
  whiteList: {
    a: ['href', 'title'],
    b: [],
    strong: [],
    em: []
  },
  onTagAttr: function (tag, name, value) {
    if (tag === 'a' && name === 'href') {
      return value.replace(/javascript:/i, '');
    }
    return value;
  }
};

const cleanString = xss('<a href="javascript:alert(\'XSS!\')">Click me!</a>', options);
console.log(cleanString); // 输出: '<a href="alert(\'XSS!\')">Click me!</a>'

示例：保护一个简单的 Web 应用

假设你有一个简单的 Express 应用，其中有一个表单允许用户提交评论。你可以使用 xss 来清理用户提交的内容：

const express = require('express');
const xss = require('xss');

const app = express();
app.use(express.urlencoded({ extended: true }));

app.get('/', (req, res) => {
  res.send(`
    <form action="/comment" method="post">
      <input type="text" name="comment" placeholder="Your comment...">
      <button>Submit</button>
    </form>
  `);
});

app.post('/comment', (req, res) => {
  const cleanedComment = xss(req.body.comment);
  res.send(`Comment received: ${cleanedComment}`);
});

app.listen(3000, () => console.log('App listening on port 3000!'));

这样，即使用户尝试提交包含恶意脚本的评论，它们也会被自动清理，从而保护你的应用免受 XSS 攻击。

注意事项

虽然 xss 模块可以极大地帮助你防止 XSS 攻击，但它并不能解决所有安全问题。你应该始终遵循最佳安全实践，比如使用 Content Security Policy (CSP) 和其他安全措施。

项目地址：https://www.npmjs.com/package/xss

安全

修改时间 2024-09-06

声明：本站所有文章和图片，如无特殊说明，均为原创发布。商业转载请联系作者获得授权，非商业转载请注明出处。

安装 xss 模块

使用 xss 模块

基本用法

自定义配置

更多配置选项

示例：保护一个简单的 Web 应用

注意事项