React.js、优秀Vue.js 这些现代的安全前端框架默认已经对安全做了非常多的考虑，但是实践这仍然不能阻碍我们写出一些安全漏洞 。。优秀。安全因为框架永远不能完全限制我们编程的实践灵活性，只要有一定的优秀灵活性存在就意味着有安全风险。

下面我就带大家一起来看一下，安全为了保证我们 React 应用的实践安全性，有哪些值得遵循的优秀优秀实践。

React​ 会对默认的安全数据绑定({}​)进行自动转义来防止 XSS​ 攻击，所有数据都会认为是实践 textContent：

但是为了保障开发的灵活性，它也给我们提供了一些直接渲染 HTML​ 的优秀方法，比如 dangerouslySetInnerHTML：

在把数据传入 dangerouslySetInnerHTML​ 之前，安全一定要确保数据是实践经过过滤或转义的，比如可以通过 dompurify.sanitize 进行过滤：

;

;

() {

;

(

);

除了 dangerouslySetInnerHTML​ ，免费源码下载我们当然还可以直接通过原生的 DOM API​ 来插入 HTML：

另外也可以通过 ref​ 来访问 DOM​ 来插入 HTML：

这两个操作都是相当危险的操作，推荐大家既然用了 React​ 就要尽量用 React​ 的编写方式来写代码，尽量不要直接操作 DOM​，如果你确实要渲染富文本，还是推荐用上面提到的 dangerouslySetInnerHTML，而且数据要经过过滤或转义。

当使用服务端渲染函数时，数据绑定也会提供自动内容转义，比如 ReactDOMServer.renderToString()​ 和 ReactDOMServer.renderToStaticMarkup()。

在将字符串发送给客户端进行注水之前，避免将字符串直接拼接到 renderToStaticMarkup() 的输出上。

为了避免 XSS​，不要将未过滤的数据与 renderToStaticMarkup() 的输出连接在一起：

) {

(

(

)

);

将 JSON​ 数据与服务器端渲染的 React​ 页面一起发送是很常见的。始终对 < 字符进行转义来避免注入攻击：

前面几个基本上都是直接渲染未经过滤的富文本导致的 XSS​，云服务器实际上通过 URL​ 伪协议也可以执行 javascript 脚本：

因此所有需要注入到代码里的 URL​ 参数，我们都要做好 URL 的合法性验证，千万不要直接注入进去：

;

) {

)) {

;

}

}

() {

;

(

);

React​ 以前也被测试出有比较高危的安全漏洞，建议经常保持更新，来避免这些有漏洞的 React 版本：

一般我们的项目都会依赖大量的开源代码，有时漏洞并不是我们写出来的，而是这些依赖带进来的，因此我们无论使用任何框架，定期进行依赖更新都是不错的选择。

推荐大家通过 Eslint​ 的 React 安全配置（https://github.com/snyk-labs/eslint-config-react-security/）来对代码进行约束，它会自动帮助我们发现一些代码中的安全风险。