深度防御：内容类网站如何有效抵御 SQL 注入与脚本攻击（XSS）

内容类网站作为信息传播的核心枢纽，其安全性和可信度至关重要。然而，随着网络攻击手段的日益复杂，SQL 注入和跨站脚本（XSS）等漏洞正不断威胁着网站的稳定运行、用户数据安全乃至品牌声誉。本文将深入探讨这两种常见的攻击类型，并提供一套从后端到前端的深度防御策略，特别是如何利用前端技术（如 DOMPurify）来有效过滤和检测恶意内容，构建坚不可摧的安全防线。

1. SQL 注入：后端防线的核心

1.1 什么是 SQL 注入？

SQL 注入（SQL Injection）是一种常见的数据库攻击手段。攻击者通过在用户输入字段中插入恶意的 SQL 代码，利用应用程序对用户输入数据的不当处理，从而绕过认证、窃取敏感数据、篡改数据库内容，甚至完全控制数据库服务器。对于内容类网站而言，数据库中存储着海量的文章、用户评论、用户信息等敏感数据，一旦被注入，后果不堪设想。

1.2 后端防护是关键

SQL 注入的根本防御在于后端。 任何前端的过滤都只是辅助，绝不能替代后端严格的安全措施。核心的后端防护策略包括：

• 参数化查询（Parameterized Queries）或预处理语句（Prepared Statements）：这是防御 SQL 注入最有效且首选的方法。它将 SQL 代码与用户输入的数据严格分离，确保用户输入永远不会被解释为可执行的 SQL 代码。数据库在执行查询前会预编译 SQL 语句，并将用户输入作为参数传递，从而从根本上消除注入风险。

  // Java 示例：使用 PreparedStatement
  PreparedStatement pstmt = connection.prepareStatement("SELECT account_balance FROM user_data WHERE user_name = ?");
  pstmt.setString(1, customerName); // 用户输入作为参数传递
  ResultSet result = pstmt.executeQuery();

• 输入验证和过滤：对所有用户输入进行严格的类型、格式和长度验证，并过滤掉所有潜在的恶意字符。使用白名单机制，只允许已知安全的字符通过。

• 最小权限原则：数据库用户应只被授予完成其任务所需的最低权限，避免使用拥有过高权限的账户连接数据库。

• Web 应用防火墙 (WAF)：部署 WAF 可以在应用层对 HTTP/HTTPS 流量进行检测和过滤，作为网站的第一道防线。

1.3 前端 SQL 注入关键字检测（预警机制）

尽管 SQL 注入主要在后端防御，但前端可以作为一道预警机制，在用户提交数据前，对明显的恶意输入进行提示或拦截，从而提升用户体验并减轻后端压力。但这绝不能作为唯一的安全防线。

function detectSqlInjectionKeywords(inputString) {
    const sqlKeywords = [
        /\bSELECT\b/i, /\bINSERT\b/i, /\bUPDATE\b/i, /\bDELETE\b/i, /\bDROP\b/i,
        /\bUNION\b/i, /\bOR\b/i, /\bAND\b/i, /\bEXEC\b/i, /\bEXECUTE\b/i,
        /\bCAST\b/i, /\bCONVERT\b/i, /\bDECLARE\b/i, /\bWAITFOR\b/i,
        /\bXP_CMDSHELL\b/i, /\bINFORMATION_SCHEMA\b/i, /\bFROM\b/i,
        /\bWHERE\b/i, /\bORDER BY\b/i, /\bGROUP BY\b/i, /\bHAVING\b/i,
        /\b--\b/, /\/\*.*?\*\//, /\b\d+=\d+\b/, /\b'='\b/, /\b' OR '\b/i
    ];

    for (const keywordRegex of sqlKeywords) {
        if (keywordRegex.test(inputString)) {
            return true; // 发现潜在的SQL注入关键字
        }
    }
    return false; // 未发现
}

// 示例：在表单提交前进行检测
const userInput = "SELECT * FROM users;";
if (detectSqlInjectionKeywords(userInput)) {
    alert("警告：您的输入包含敏感关键字，请检查！");
    // 阻止表单提交
}

2. 脚本攻击（XSS）：前端防线的重中之重

2.1 什么是 XSS 攻击？

跨站脚本（Cross-Site Scripting, XSS）攻击是一种代码注入攻击，攻击者将恶意脚本（通常是 JavaScript）注入到网页中，当其他用户浏览该网页时，恶意脚本就会在用户的浏览器上执行。XSS 攻击主要分为三类：

• 存储型 XSS (Stored XSS)：恶意脚本被存储在服务器端（如数据库），当用户访问包含恶意脚本的页面时被执行。这是内容类网站评论区、文章内容等最常见的威胁。
• 反射型 XSS (Reflected XSS)：恶意脚本通过 URL 参数等方式传递给服务器，服务器未经处理直接"反射"回浏览器并执行。
• DOM 型 XSS (DOM-based XSS)：恶意脚本不经过服务器，直接在浏览器端修改 DOM 结构并执行。

2.2 前端防御 XSS 的核心策略

前端防御 XSS 的核心原则是：永远不要信任用户生成的内容，并对所有可能包含 HTML 的数据进行严格的编码或净化。

2.2.1 HTML 实体编码：纯文本展示的基石

当用户输入的内容需要作为纯文本 显示在 HTML 页面上时，必须对其进行 HTML 实体编码。这将把 <、>、&、"、' 等特殊字符转换为其对应的 HTML 实体（如 <），从而防止浏览器将其解释为 HTML 标签或可执行脚本。

function htmlEncode(str) {
    const div = document.createElement("div");
    div.appendChild(document.createTextNode(str));
    return div.innerHTML;
}

// 示例
const maliciousText = "<script>alert(\'XSS\');</script><b>Hello</b>";
const encodedText = htmlEncode(maliciousText);
console.log(encodedText); // 输出: &lt;script&gt;alert(\'XSS\');&lt;/script&gt;&lt;b&gt;Hello&lt;/b&gt;

// 在 HTML 中渲染 encodedText 时，浏览器会将其作为纯文本显示，而不是执行脚本。
// 例如：document.getElementById("output").innerHTML = encodedText;

2.2.2 内容净化：DOMPurify 的强大力量

如果内容类网站允许用户发布富文本内容 （例如，评论区支持部分 HTML 标签），那么简单的 HTML 实体编码就不够了，因为它会移除所有 HTML 格式。此时，我们需要进行内容净化（Sanitization），即移除所有不安全的 HTML 标签和属性，只保留白名单中的安全标签和属性。

手动实现内容净化非常复杂且容易出错，强烈建议使用成熟、经过安全审计的第三方库，如 DOMPurify。

DOMPurify 简介

DOMPurify 是一个快速、安全、零依赖的 HTML、SVG 和 MathML 净化器。它由 OWASP 维护，被广泛认为是前端内容净化的黄金标准。

安装 DOMPurify

npm install dompurify
# 或者通过 CDN 引入
# <script src="https://cdnjs.cloudflare.com/ajax/libs/dompurify/2.3.3/purify.min.js"></script>

DOMPurify 基础用法

import DOMPurify from 'dompurify';

const dirtyHtml = `
    <img src="x" onerror="alert('XSS')">
    <a href="javascript:alert('XSS')">Click me</a>
    <p>Hello <b>World</b></p>
    <iframe src="http://evil.com"></iframe>
`;

const cleanHtml = DOMPurify.sanitize(dirtyHtml);
console.log(cleanHtml);
/*
输出:
<img src="x">
<a href="">Click me</a>
<p>Hello <b>World</b></p>

注意：onerror 事件、javascript: 链接和 iframe 等恶意内容都被移除了。
*/

DOMPurify 高级配置

DOMPurify 提供了丰富的配置选项，允许您根据需求定制净化规则，例如允许特定的标签、属性或自定义过滤器。

// 允许特定的标签和属性
const customClean = DOMPurify.sanitize(dirtyHtml, {
    ALLOWED_TAGS: ['p', 'b', 'a', 'img'],
    ALLOWED_ATTR: ['href', 'src', 'alt']
});
console.log(customClean);

// 使用配置文件（例如，只允许 HTML）
const htmlOnlyClean = DOMPurify.sanitize(dirtyHtml, { USE_PROFILES: { html: true } });
console.log(htmlOnlyClean);

2.2.3 全局净化：Axios 响应拦截器集成 DOMPurify

为了确保所有从后端 API 返回的数据在渲染到页面之前都经过净化，尤其是在数据可能包含用户生成内容的情况下，最佳实践是在 HTTP 客户端的响应拦截器中进行全局净化。这样可以避免在每个组件中手动调用净化函数，减少遗漏。

import axios from 'axios';
import DOMPurify from 'dompurify';

// 递归净化函数：遍历对象或数组中的所有字符串字段
function deepSanitize(data) {
    if (data === null || typeof data === 'undefined') {
        return data;
    }

    if (typeof data === 'string') {
        // 对字符串进行 HTML 净化
        return DOMPurify.sanitize(data, { USE_PROFILES: { html: true } });
    } else if (Array.isArray(data)) {
        // 如果是数组，遍历每个元素进行净化
        return data.map(item => deepSanitize(item));
    } else if (typeof data === 'object') {
        // 如果是对象，遍历每个属性进行净化
        const sanitizedObject = {};
        for (const key in data) {
            if (Object.prototype.hasOwnProperty.call(data, key)) {
                sanitizedObject[key] = deepSanitize(data[key]);
            }
        }
        return sanitizedObject;
    }
    return data;
}

// 创建 Axios 实例
const apiClient = axios.create({
    baseURL: '/api',
    timeout: 10000,
});

// 添加响应拦截器，在数据到达组件前进行净化
apiClient.interceptors.response.use(
    response => {
        // 仅对成功的响应数据进行净化
        if (response.data) {
            response.data = deepSanitize(response.data);
        }
        return response;
    },
    error => {
        // 对错误响应不做净化，直接抛出
        return Promise.reject(error);
    }
);

export default apiClient;

// 使用此 apiClient 发送请求，返回的数据将自动被净化
// apiClient.get('/articles').then(res => {
//     // res.data 中的所有字符串内容都已经被净化，可以直接安全地渲染
//     console.log(res.data);
// });

2.2.4 防御性渲染：框架中的安全实践

现代前端框架（如 React、Vue）通常默认会对数据进行 HTML 实体编码，从而有效防御 XSS 攻击。但仍需注意以下不安全的使用方式：

• React 的 dangerouslySetInnerHTML ：此属性允许直接插入 HTML 字符串。应极力避免使用 ，除非您能确保插入的 HTML 内容已经过严格的后端和前端净化。如果必须使用，请务必先用 DOMPurify.sanitize() 处理。

  // 错误示例：直接使用未经净化的内容
  // <div dangerouslySetInnerHTML={{ __html: apiResponse.maliciousContent }}></div>
  
  // 正确示例：使用净化后的内容
  <div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(apiResponse.safeContent) }}></div>

• Vue 的 v-html 指令 ：与 dangerouslySetInnerHTML 类似，v-html 也直接渲染 HTML 字符串。同样，应谨慎使用，并确保内容已净化。

  <!-- 错误示例：直接使用未经净化的内容 -->
  <!-- <div v-html="apiResponse.maliciousContent"></div> -->
  
  <!-- 正确示例：使用净化后的内容 -->
  <template>
    <div v-html="sanitizedContent"></div>
  </template>
  
  <script>
  import DOMPurify from 'dompurify';
  export default {
    data() {
      return {
        apiResponse: { maliciousContent: '<script>alert(1)</script>' }
      };
    },
    computed: {
      sanitizedContent() {
        return DOMPurify.sanitize(this.apiResponse.maliciousContent);
      }
    }
  };
  </script>

3. 内容安全策略 (CSP)：浏览器层面的最后一道防线

内容安全策略（Content Security Policy, CSP）是一种强大的安全机制，它允许网站管理员通过 HTTP 响应头来指定浏览器可以加载哪些资源（如脚本、样式、图片、字体等）的来源。这可以有效缓解 XSS 和其他形式的代码注入攻击，即使恶意脚本被注入，也可能因为不符合 CSP 规则而被浏览器阻止执行 [1]。

CSP 配置示例：

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; object-src 'none'; base-uri 'self'; form-action 'self';

4. 总结：多层防御，构建安全内容类网站

构建一个安全的内容类网站需要一个多层次、全方位的防御策略。SQL 注入的根本防御在于后端，通过参数化查询和严格的输入验证来保护数据库。而脚本攻击（XSS）则需要前端的高度警惕，通过 HTML 实体编码、DOMPurify 进行内容净化（尤其是在处理 API 返回数据和富文本时），以及利用现代前端框架的防御性渲染特性，共同抵御恶意脚本的入侵。

此外，结合内容安全策略（CSP）在浏览器层面提供额外的保护，并持续关注最新的安全威胁和最佳实践，是确保内容类网站及其用户数据安全的基石。前端开发者应将安全意识融入日常开发流程，与后端团队紧密协作，共同打造一个值得信赖、安全可靠的内容类平台。