微信小程序 XSS 防护知识整理

黄同学real2025-05-01 9:53

场景1:用户输入表单(如评论框)

错误做法:直接渲染未过滤的用户输入
javascript 复制代码 
// WXML
<view>{{ userInput }}</view>

// JS(用户输入了恶意内容)
Page({
  data: { userInput: '<script>alert("XSS攻击")</script>' }
})

结果 :小程序会自动转义,页面显示为文本:<script>alert("XSS攻击")</script>,不会执行脚本。
防护原理 :数据绑定 ({``{ }}) 默认转义 HTML 特殊字符(如 <&lt;)。

场景2:动态渲染富文本(如用户发布的文章)

错误做法 :直接用 rich-text 渲染未过滤的内容
javascript 复制代码 
// WXML
<rich-text nodes="{{ userContent }}"></rich-text>

// JS(用户输入了危险内容)
Page({
  data: {
    userContent: '<img src="x" onerror="alert(1)">' // 包含恶意 onerror 事件
  }
})

结果 :小程序 rich-text 组件会自动过滤 onerror 属性,最终渲染成 <img src="x">
防护原理rich-text 组件内置黑名单,过滤 scriptiframe 和危险属性(如 onclickonerror)。

场景3:使用 web-view 嵌入外部网页

错误做法:加载不可信的第三方网页
html 复制代码 
<web-view src="{{ externalUrl }}"></web-view>

// JS(外部链接被篡改)
Page({
  data: {
    externalUrl: 'https://恶意网站.com?attack=...'
  }
})

风险 :外部网页可能含有 XSS 攻击代码,通过 web-view 传播。
正确做法

  1. 限制 web-view 只能加载白名单域名(在小程序后台配置)。
  2. src 参数做合法性校验:
javascript 复制代码 
// 校验 URL 是否合法
if (!isValidUrl(externalUrl)) {
  externalUrl = ''; // 拒绝加载
}

场景4:调用接口获取数据

错误做法:信任后端返回的未过滤数据
javascript 复制代码 
// 假设后端返回数据:{ content: '<script>恶意代码</script>' }
wx.request({
  url: 'api/getData',
  success: (res) => {
    this.setData({ content: res.data.content }); // 直接渲染
  }
})

结果 :虽然小程序默认转义,但如果数据用于不安全场景(如 web-view),仍可能引发风险。
正确做法

  1. 后端返回前对数据做 XSS 过滤。
  2. 前端对关键内容二次过滤:
javascript 复制代码 
// 使用微信提供的安全过滤函数(示例)
const safeContent = filterXSS(res.data.content);
this.setData({ content: safeContent });

场景5:用户昵称/简介中的特殊字符

错误做法:允许用户输入任意字符
javascript 复制代码 
// 用户输入昵称:<img src=x onerror=alert(1)>
Page({
  data: { nickname: userInput }
})

结果 :渲染到页面时会被转义,但若其他地方误用(如转发到其他系统),可能引发风险。
正确做法

  1. 输入时过滤危险字符:
javascript 复制代码 
// 前端过滤
const cleanNickname = nickname.replace(/[<>"'&]/g, '');

// 或调用微信内容安全接口(推荐)
wx.msgSecCheck({
  content: nickname,
  success: () => { /* 内容安全 */ },
  fail: () => { /* 拦截危险内容 */ }
})

总结:XSS 防护口诀

  1. 数据绑定用双花{``{ }} 默认转义,别用 innerHTML
  2. 富文本要过滤rich-text 或安全解析库。
  3. 用户输入必校验:前后端双重过滤。
  4. 动态代码要禁用 :别用 evalnew Function
  5. 外部内容严管控web-view 域名白名单。

附:XSS 测试工具

  • 安全测试输入 :尝试输入以下内容,检查是否被转义:

    html 复制代码 
    <img src=x onerror=alert(1)>   <!-- 测试HTML属性 -->
<script>alert(1)</script>      <!-- 测试脚本标签 -->
javascript:alert(1)            <!-- 测试URL协议 -->
相关推荐
秋水丶秋水2 小时前
小程序为什么要安装SSL安全证书
安全·小程序·ssl
^Rocky5 小时前
微信小程序(uniapp)实现腾讯云 IM 消息撤回
微信小程序·uni-app·腾讯云
疯狂的沙粒8 小时前
uniapp开发企业微信小程序时 wx.qy.login 在uniapp中使用的时候,需要导包吗?
前端·javascript·微信小程序·小程序·uni-app
10990541811 小时前
微信小程序进阶第2篇__事件类型_冒泡_非冒泡
微信小程序
疯狂的沙粒16 小时前
uniapp 开发企业微信小程序时,如何在当前页面真正销毁前或者关闭小程序前调用一个api接口
微信小程序·小程序·uni-app
山河故人16316 小时前
UniApp微信小程序自定义导航栏实现
微信小程序·uni-app·notepad++
魔术师ID17 小时前
微信小程序学习目录
学习·微信小程序·小程序
一蓑烟雨,一任平生1 天前
在h5端实现录音发送功能(兼容内嵌微信小程序) recorder-core
微信小程序·小程序
说私域1 天前
多级体验体系构建:基于开源AI智能客服与AI智能名片的S2B2C商城小程序体验升级路径研究
人工智能·小程序·开源·零售
^Rocky1 天前
微信小程序(uniapp)对接腾讯云IM
微信小程序·uni-app·腾讯云
热门推荐
01从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04DeepSeek各版本说明与优缺点分析05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06组基轨迹建模 GBTM的介绍与实现(Stata 或 R)07【2025年最新】OpenWrt 更换国内源的指南(图形界面版)08VMware虚拟机安装Win7专业版保姆级教程(附镜像包)09Coze扣子平台完整体验和实践(附国内和国际版对比)10【超详细】Windows安装Npcap