[関連チュートリアルの推奨事項: React ビデオ チュートリアル ]
クロスサイト スクリプティング (XSS) 攻撃は、悪意のあるコードをシステムに挿入する一種の攻撃です。 Web ページにアクセスして攻撃を実行します。これは、フロントエンド Web 開発者が対処しなければならないサイバー攻撃の最も一般的な形式の 1 つであるため、攻撃がどのように機能するか、そしてそれを防ぐ方法を理解することが重要です。
この記事では、あなたもサイトとユーザーを保護できるように、React で書かれたいくつかのコード例を見ていきます。
例 1: React での XSS 攻撃の成功
すべての例で、同じ基本機能を実装します。ページには、ユーザーがテキストを入力できる検索ボックスが表示されます。 [実行] ボタンをクリックすると、検索の実行がシミュレートされ、確認テキストが画面に表示され、検索した用語がユーザーに繰り返し表示されます。これは、検索が可能な Web サイトの標準的な動作です。
<img src="/static/imghwm/default1.png" data-src="1" class="lazy" alt="React で XSS 攻撃を防ぐにはどうすればよいですか? (コード例)" >今何が起きますか?
onerror イベント ハンドラーが実行されました。それは私たちが望んでいることではありません!信頼できないユーザー入力から無意識のうちにスクリプトを実行していただけです。
<p> You searched for: <b><span></span></b> </p>ユーザー入力が解析されてレンダリングされる理由は、
dangerouslySetInnerHTML 属性を使用するためです。これは、ネイティブの innerHTML ブラウザ API と同じように動作する React の機能です。このため、この属性を使用することは一般的に安全ではないと考えられています。
例 2: React での XSS 攻撃の失敗
次に、XSS 攻撃に対する防御の成功例を見てみましょう。ここでの修正は非常に簡単です。ユーザー入力を安全にレンダリングするために、dangerouslySetInnerHTML 属性を使用すべきではありません。代わりに、出力を次のようにコーディングしましょう:
<p>
You searched for: <b>{this.state.submittedSearch}</b>
</p> 同じ入力を使用しますが、今回の出力は次のとおりです:
textContent
ブラウザ API を使用するのと同じです。例 3: React での HTML コンテンツのクリーンアップ
したがって、ここでのアドバイスは簡単に思えます。 React コードでは dangerouslySetInnerHTML
を使用しないでください。大丈夫です。しかし、この機能を使用する必要がある場合はどうすればよいでしょうか?たとえば、Drupal などのコンテンツ管理システム (CMS) からコンテンツを取得しており、そのコンテンツの一部にはマークアップが含まれているとします。 (ところで、そもそもテキスト コンテンツや CMS からの翻訳にタグを含めることはお勧めしませんが、この例では、あなたの意見が却下され、タグ付けされたコンテンツが残ると仮定します。)
終了
以上です。 XSS 攻撃を実行する方法、それを防ぐ方法、必要に応じて HTML コンテンツを安全に解析する方法。
祝您程式愉快,安全無虞!
完整的程式碼範例可在GitHub 上找到:https://github.com/thawkin3/xss-demo
##更多程式相關知識,請造訪:原文網址:https://blog. zhangbing.site/2019/11/24/protecting-against-xss-attacks-in-react/
程式學習! !
以上がReact で XSS 攻撃を防ぐにはどうすればよいですか? (コード例)の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
C/CからJavaScriptへ:すべてがどのように機能するかApr 14, 2025 am 12:05 AMC/CからJavaScriptへのシフトには、動的なタイピング、ゴミ収集、非同期プログラミングへの適応が必要です。 1)C/Cは、手動メモリ管理を必要とする静的に型付けられた言語であり、JavaScriptは動的に型付けされ、ごみ収集が自動的に処理されます。 2)C/Cはマシンコードにコンパイルする必要がありますが、JavaScriptは解釈言語です。 3)JavaScriptは、閉鎖、プロトタイプチェーン、約束などの概念を導入します。これにより、柔軟性と非同期プログラミング機能が向上します。
JavaScriptエンジン:実装の比較Apr 13, 2025 am 12:05 AMさまざまなJavaScriptエンジンは、各エンジンの実装原則と最適化戦略が異なるため、JavaScriptコードを解析および実行するときに異なる効果をもたらします。 1。語彙分析:ソースコードを語彙ユニットに変換します。 2。文法分析:抽象的な構文ツリーを生成します。 3。最適化とコンパイル:JITコンパイラを介してマシンコードを生成します。 4。実行:マシンコードを実行します。 V8エンジンはインスタントコンピレーションと非表示クラスを通じて最適化され、Spidermonkeyはタイプ推論システムを使用して、同じコードで異なるパフォーマンスパフォーマンスをもたらします。
ブラウザを超えて:現実世界のJavaScriptApr 12, 2025 am 12:06 AM現実世界におけるJavaScriptのアプリケーションには、サーバー側のプログラミング、モバイルアプリケーション開発、モノのインターネット制御が含まれます。 2。モバイルアプリケーションの開発は、ReactNativeを通じて実行され、クロスプラットフォームの展開をサポートします。 3.ハードウェアの相互作用に適したJohnny-Fiveライブラリを介したIoTデバイス制御に使用されます。
next.jsを使用してマルチテナントSaaSアプリケーションを構築する(バックエンド統合)Apr 11, 2025 am 08:23 AM私はあなたの日常的な技術ツールを使用して機能的なマルチテナントSaaSアプリケーション(EDTECHアプリ)を作成しましたが、あなたは同じことをすることができます。 まず、マルチテナントSaaSアプリケーションとは何ですか? マルチテナントSaaSアプリケーションを使用すると、Singの複数の顧客にサービスを提供できます
next.jsを使用してマルチテナントSaaSアプリケーションを構築する方法(フロントエンド統合)Apr 11, 2025 am 08:22 AMこの記事では、許可によって保護されたバックエンドとのフロントエンド統合を示し、next.jsを使用して機能的なedtech SaaSアプリケーションを構築します。 FrontEndはユーザーのアクセス許可を取得してUIの可視性を制御し、APIリクエストがロールベースに付着することを保証します
JavaScript:Web言語の汎用性の調査Apr 11, 2025 am 12:01 AMJavaScriptは、現代のWeb開発のコア言語であり、その多様性と柔軟性に広く使用されています。 1)フロントエンド開発:DOM操作と最新のフレームワーク(React、Vue.JS、Angularなど)を通じて、動的なWebページとシングルページアプリケーションを構築します。 2)サーバー側の開発:node.jsは、非ブロッキングI/Oモデルを使用して、高い並行性とリアルタイムアプリケーションを処理します。 3)モバイルおよびデスクトップアプリケーション開発:クロスプラットフォーム開発は、反応および電子を通じて実現され、開発効率を向上させます。
JavaScriptの進化:現在の傾向と将来の見通しApr 10, 2025 am 09:33 AMJavaScriptの最新トレンドには、TypeScriptの台頭、最新のフレームワークとライブラリの人気、WebAssemblyの適用が含まれます。将来の見通しは、より強力なタイプシステム、サーバー側のJavaScriptの開発、人工知能と機械学習の拡大、およびIoTおよびEDGEコンピューティングの可能性をカバーしています。
javascriptの分解:それが何をするのか、なぜそれが重要なのかApr 09, 2025 am 12:07 AMJavaScriptは現代のWeb開発の基礎であり、その主な機能には、イベント駆動型のプログラミング、動的コンテンツ生成、非同期プログラミングが含まれます。 1)イベント駆動型プログラミングにより、Webページはユーザー操作に応じて動的に変更できます。 2)動的コンテンツ生成により、条件に応じてページコンテンツを調整できます。 3)非同期プログラミングにより、ユーザーインターフェイスがブロックされないようにします。 JavaScriptは、Webインタラクション、シングルページアプリケーション、サーバー側の開発で広く使用されており、ユーザーエクスペリエンスとクロスプラットフォーム開発の柔軟性を大幅に改善しています。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
SublimeText3 Linux 新バージョン
SublimeText3 Linux 最新バージョン
Dreamweaver Mac版
ビジュアル Web 開発ツール
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。
VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
