JS安全与边界处理专题测试

使用CSRF Token验证，每次请求携带服务器生成的随机Token

验证HTTP请求头的Referer或Origin字段

对关键操作使用POST请求替代GET请求

设置Cookie的SameSite属性为Strict或Lax

在前端使用JavaScript验证用户身份

对敏感操作要求二次验证（如输入密码或验证码）

用户登录银行网站后，访问恶意网站发起转账请求

网站使用GET请求执行状态变更操作（如删除数据）

网站未设置Cookie的SameSite属性

网站使用HTTPS传输数据

用户点击恶意邮件中的链接修改账户密码

网站对所有请求进行CSRF Token验证

允许所有跨站请求携带Cookie

只允许同站请求携带Cookie，完全禁止跨站请求

允许安全的跨站GET请求携带Cookie，禁止跨站POST

允许跨站请求携带Cookie，但需要用户显式确认

对

错

对用户输入进行HTML实体编码后输出

使用textContent代替innerHTML设置文本内容

设置Cookie的HttpOnly属性防止JS读取敏感Cookie

使用Content-Security-Policy(CSP)限制脚本来源

对URL参数进行JavaScript编码后使用

使用eval执行用户输入的表达式

反射型XSS：攻击代码通过URL参数传递，服务器将其反射回页面

存储型XSS：攻击代码存储在服务器数据库中，每次访问都会执行

DOM型XSS：攻击代码完全在客户端执行，不经过服务器

存储型XSS危害最大，影响所有访问该页面的用户

反射型XSS需要诱导用户点击恶意链接才能触发

DOM型XSS可以通过服务器端输入验证完全防御

使用encodeURIComponent编码URL参数

使用DOM API的setAttribute设置属性，而非拼接HTML字符串

对用户输入使用正则表达式过滤HTML标签

使用框架提供的安全绑定机制（如Vue的v-text、React的{}）

禁止使用innerHTML、document.write等危险API

将用户输入直接插入script标签执行

对

错

在前端和后端都进行输入验证

使用白名单验证而非黑名单过滤

验证数据类型、长度、格式和范围

对验证失败的数据尝试修复后使用

使用正则表达式严格验证邮箱、URL等格式

对所有输入统一使用相同的验证规则

用户注册时的邮箱和手机号验证

文件上传时验证文件类型和大小

URL跳转时验证目标地址是否为合法域名

搜索功能时验证搜索关键词长度

表单提交时验证必填字段是否为空

JSON解析时直接使用eval处理用户输入

对

错

HTML内容上下文：使用HTML实体编码（<、>等）

HTML属性上下文：使用HTML属性编码，确保属性值被正确引号包裹

JavaScript上下文：使用JavaScript编码（转义引号、反斜杠等）

URL上下文：使用encodeURIComponent编码参数值

CSS上下文：使用CSS编码（转义特殊字符）

所有上下文统一使用HTML实体编码即可

在HTML内容中使用 < 显示用户输入的小于号符号

在JavaScript中使用 \x3c 编码 < 字符

在URL参数中使用 %3C 编码 < 字符

在HTML属性中使用 < 编码 < 字符，并用引号包裹属性值

直接将用户输入拼接到内联事件处理属性中

在CSS属性值中使用 \3c 编码 < 字符

对

错

避免使用eval、Function构造函数执行动态代码

使用const和let替代var，减少变量提升带来的意外作用域问题

对敏感操作添加日志记录和审计

使用严格模式（"use strict"）捕获更多潜在错误

在生产环境中暴露详细的错误信息给用户

对API接口进行速率限制防止滥用

将用户密码硬编码在前端JavaScript代码中

使用document.cookie直接读取敏感Cookie

在URL中传递敏感参数（如token、密码）

使用HTTPS传输数据

在前端代码中验证用户权限然后跳过后端验证

将API密钥暴露在前端代码或localStorage中