前端安全基线:XSS、CSRF 与依赖供应链风险的防护清单
前端安全并不只靠“后端兜底”。在现代 Web 架构里,前端直接处理模板渲染、鉴权状态和第三方依赖,安全边界必须前移。
1. XSS 防护:先杜绝注入,再做补救
核心原则是“默认不信任任何外部输入”。对于富文本展示场景,必须经过白名单过滤与转义处理。
- 避免直接使用 innerHTML 渲染用户输入。
- 对 URL 参数、表单数据做上下文相关编码。
- 部署 Content Security Policy,限制脚本来源。
2. CSRF 防护:校验来源与会话绑定
对涉及资金、权限、个人信息的操作接口,需结合 CSRF Token、SameSite Cookie 和 Referer/Origin 校验。
- 敏感请求使用双重校验机制。
- 避免 GET 请求执行副作用操作。
- 前端对高风险操作增加二次确认。
3. 依赖供应链:防止“合法包中的恶意代码”
依赖风险是近年高频问题。建议锁定版本、启用漏洞扫描,并对关键依赖做变更审计。
- 启用 lockfile,防止不可预期升级。
- 定期执行依赖漏洞扫描并分级修复。
- 对安装脚本权限进行最小化控制。
4. 安全治理需要流程化
安全不是一次修复,而是持续治理。应建立“编码规范 + 自动化检测 + 应急预案”的机制,并定期做演练与复盘。
5. 结语
当安全基线成为团队默认配置,风险会显著下降。把安全能力前置到开发流程,远比事故后补救更低成本。