这是我们前端最常见的两种攻击手段，也是面试中最常考的前端攻击。这篇文章我用最精炼、最优雅，也是面试官最喜欢的回答方式来讲解下 XSS 和 CSRF。

一、XSS（跨站脚本）

原理

攻击者把 恶意脚本 注入到受信任页面并被浏览器执行，脚本 利用页面的信任上下文（Cookies、localStorage、DOM）窃取数据或劫持会话。

常见类型

• 反射型（参数或路径直接反射到页面并执行）
• 存储型（恶意内容存储在服务器，其他用户访问时触发）
• DOM-based（客户端不安全的 DOM 操作导致执行，和服务器无关）

最小复现示例（不安全的后端 + 不安全的前端）

后端（Express — 危险示例）

// server.js（示例，仅演示不安全行为）
const express = require('express');
const app = express();

app.get('/search', (req, res) => {
  const q = req.query.q || '';
  // 直接把用户输入拼到 HTML 中 —— 危险！
  res.send(`<html><body>搜索: ${q}</body></html>`);
});

app.listen(3000);

访问 /search?q=<script>alert(1)</script> 会执行脚本（反射型）。

前端 DOM XSS（危险）

<div id="out"></div>
<script>
  const q = location.search.split('q=')[1] || '';
  document.getElementById('out').innerHTML = q; // 不转义 —— 危险（DOM XSS）
</script>

实战防范要点

1. **输出编码（服务器端）**：所有插入 HTML 的内容做 HTML 转义（&<>\"'）。
2. 前端最小化 innerHTML：尽量用框架绑定（React/Vue 的模板）替代 innerHTML。

   框架框出来的插值（{value} / {{ value }}）会自动做 HTML 转义，把 <、>、&、"、' 等关键字符替换成实体（< 等），从而把攻击脚本当文本显示，而不是执行。

3. 富文本白名单清洗：对于必须存储/渲染的 HTML（富文本），后端用白名单 sanitizer（比如 bleach / html-sanitizer），前端再用 DOMPurify 做一次保护，对标签属性等进行清洗。
4. Content-Security-Policy（CSP）头部：禁止内联脚本、只允许可信源。
5. HttpOnly Cookie 头部：token/cookie 设置 HttpOnly，防止被脚本直接读取（减轻 XSS 后果）。

示例代码 — 安全改造

后端（Express + 转义）

const escapeHtml = s => String(s)
  .replace(/&/g, '&')
  .replace(/</g, '&lt;')
  .replace(/>/g, '&gt;')
  .replace(/"/g, '&quot;')
  .replace(/'/g, '&#39;');

app.get('/search', (req, res) => {
  const q = escapeHtml(req.query.q || '');
  res.send(`<html><body>搜索: ${q}</body></html>`);
});

前端（若必须渲染 HTML，用 DOMPurify）

<!-- npm install dompurify -->
<script src="https://unpkg.com/dompurify@2.<!--version-->/dist/purify.min.js"></script>
<div id="content"></div>
<script>
  // htmlFromServer 来自后端 API，仍需 sanitize
  const htmlFromServer = '<img src=x onerror=alert(1)>';
  document.getElementById('content').innerHTML = DOMPurify.sanitize(htmlFromServer);
</script>

设置 CSP（Nginx/Express header 示例）

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; object-src 'none';

二、CSRF（跨站请求伪造）

原理

利用用户已登录且浏览器会自动带上凭证（cookie）的特性，攻击者诱导用户发起对受信任站点的请求（如通过自动提交表单或图片请求），从而在用户 名下执行未授权操作。

最小复现示例（攻击者页面）

如果 bank.com/transfer 接受 GET 或 POST 并依赖 cookie 验证，攻击页面可这样写：

<!-- auto.html（在攻击者域名上） -->
<form action="https://bank.com/transfer" method="POST" id="f">
  <input name="to" value="attacker" />
  <input name="amount" value="1000" />
</form>
<script>document.getElementById('f').submit();</script>

用户在已登录 bank.com 的情况下访问攻击页面时，浏览器会自动带上 bank.com 的 cookie，导致转账。

防护要点

1. SameSite Cookie：把 session/cookie 设置 SameSite=Lax 或 Strict（Lax 对 POST 有保护，适配大多数情形）。
2. **CSRF Token（同步/双提交）**：服务端生成随机 token，响应给前端；敏感请求必须携带并校验该 token。

   该 token 不同于 jwt token ，此处的 csrf-token 只为配合 session+cookie 传统鉴权策略做安全防护。

3. 检查 Origin/Referer：对跨站请求校验 Origin 或 Referer 头（通常对 POST/PUT/DELETE 生效）。
4. 避免用 cookie 做对外 API 的认证：采用 Authorization: Bearer header 的 token 机制（只有 JS 能读/写），结合 CORS 限制。
5. 敏感操作二次确认：密码/OTP/二次验证。

示例代码（Express + scrf token + csurf）

csurf 使用 **双提交验证机制（CSRF Token）**：

1. 服务端生成一个 CSRF Token，放在 cookie 或 session 中。
2. 前端每次发 POST/PUT/DELETE 请求要带上这个 token，常放在请求头或表单隐藏字段，比如：X-CSRF-Token: ey2423482374823748234
3. 服务端校验 token，是否匹配、是否未过期、是否合法。

后端（Express）

// server.js
const express = require('express');
const cookieParser = require('cookie-parser');
const csurf = require('csurf');

const app = express();
app.use(cookieParser());
app.use(express.json());
app.use(csurf({ cookie: { httpOnly: true, sameSite: 'lax' } }));

app.get('/csrf-token', (req, res) => {
  // 返回 token 给 SPA 前端（用于后续请求 header）
  res.json({ csrfToken: req.csrfToken() });
});

app.post('/transfer', (req, res) => {
  // csurf 中间件会自动校验请求中的 token（_csrf 字段或 X-CSRF-Token header）
  // 执行转账逻辑...
  res.json({ ok: true });
});

app.listen(3000);

前端 SPA（获取 token 并在请求头中发送）

// 初始化时获取 token
async function init() {
  const r = await fetch('/csrf-token', { credentials: 'include' });
  const { csrfToken } = await r.json();
  window.__CSRF_TOKEN = csrfToken;
}

// 发送受保护请求
async function transfer() {
  await fetch('/transfer', {
    method: 'POST',
    credentials: 'include', // 仍然带 cookie
    headers: {
      'Content-Type': 'application/json',
      'X-CSRF-Token': window.__CSRF_TOKEN
    },
    body: JSON.stringify({ to: 'bob', amount: 100 })
  });
}

只用 SameSite（简洁替代，适用多数场景），在服务端设置 cookie：

Set-Cookie: session=...; HttpOnly; Secure; SameSite=Lax; Path=/;

这就能阻止绝大多数通过第三方页面触发的 POST/跨站敏感操作。

三、XSS 与 CSRF 的关键总结

概念：

• XSS：攻击者注入脚本并可读取页面内容（更强），根源是输出/DOM 不安全。
• CSRF：攻击者伪造用户请求，无法直接读取响应，根源是浏览器自动带凭证。

防护：

1. 后端统一使用 HTML escape 库；富文本走白名单 sanitizer。
2. 全站 Cookie：HttpOnly; Secure; SameSite=Lax。
3. 对需要的页面开启 CSP（report-only 先观测，再 enforce）。
4. SPA：首次获取 CSRF token 并在后续请求中以 header 发送；服务端检查 Origin/Referer。
5. CI/代码审查禁止随意使用 innerHTML/eval/dangerouslySetInnerHTML。
6. 对关键操作实施二次验证（密码/OTP）。

常用配置项——Mode

默认值是 production（什么都不设置的情况下）；可选值有：'none' | 'development' | 'production'。

• development：会将 DefinePlugin 中 process.env.NODE_ENV 的值设置为 development，为模块和 chunk 启用有效的名。
• production：会将 DefinePlugin 中 process.env.NODE_ENV 的值设置为 production，为模块和 chunk 启用确定性的混淆名称。
• none：不使用任何默认优化选项

常用配置项——Source Map

一、如何在 Webpack 中启用 Source Map

在 webpack.config.js 中，通过配置 devtool 选项来控制是否生成 source map 以及生成的类型：

module.exports = {
  // ...
  devtool: 'source-map', // 或其他值
};

二、常见的 devtool 选项及其区别

💡 实践建议：

• 开发/测试环境：常用 eval-cheap-module-source-map（速度快 + 能定位到原始模块）
• 生产环境：
  • 如果需要错误监控（如 Sentry），可使用 hidden-source-map 或 nosources-source-map
    • 通过 sentry-cli 将 .map 文件上传到 Sentry
    • 用户报错时，Sentry 利用 source map 自动还原原始错误位置
  • 一般不直接暴露完整 source-map，以防源码泄露

三、Source Map 的工作原理简述

1. Webpack 在打包时根据 devtool 配置生成 .map 文件（如 main.js.map）
2. 在输出的 bundle 文件（转换后的文件）末尾添加一行魔法注释：

//# sourceMappingURL=main.js.map

3. 浏览器 DevTools 自动加载该 .map 文件，并将压缩代码映射回原始源码
4. 开发者可以在 DevTools 中像调试原始代码一样设置断点、查看变量等

常用配置项——Babel、Browserslist、Polyfill

见之前的文章：《身为大厂前端的你，不能不知道 Babel + Polyfill！》

常用配置项——devServer

你有没有想过一个问题，我们干前端的，为什么要在构建工作内嵌一个服务器（devServer）。

原因其实有这么两个：

1. 文件变化时完成自动构建
2. 启动一个服务查看页面展示（最最之前我们学 html 的时候也是通过 live server 启动的一个内置服务器查看页面）

webpack-dev-server 在编译之后不会写入到任何输出文件，而是将 bundle 文件保留在内存中。

常见配置：

devServer: {
  host: '0.0.0.0', // 允许外部访问（如手机调试）
  port: 3000,
  open: true, // 启动后自动打开默认浏览器
  hot: true, // 启用 HMR（模块热更新）
  static: { // 指定静态资源目录（如 public 文件夹）
    directory: path.join(__dirname, 'public'), // 静态资源根目录
    publicPath: '/', // 访问路径前缀
    watch: true,     // 监听变化并刷新
  },
  compress: true, // 是否为静态文件开启 gzip压缩，默认为false
  proxy: { // 一般用于开发环境反向代理避免CORS
    '/api': {
      target: 'http://localhost:8080',
      changeOrigin: true, // 改变请求头中的 host
      pathRewrite: {
        '^/api': '', // 重写路径，去掉 /api 前缀
      },
    },
  },
  historyApiFallback: true, // 解决SPA页面在路由跳转之后，进行页面刷新时，返回404的错误
}

• 默认 localhost（仅本机访问），这里我们在实际开发中可能会遇到一个问题，就是后端同学无法通过我们项目的 ip 地址访问，这是因为你和他的主机处于同一网段
• 设为 '0.0.0.0' 可局域网访问（常用于真机调试）

• hot: true：支持 HMR，若失败则 fallback 到页面刷新
• hotOnly: true：仅 HMR，编译失败不刷新页面（hot: true 编译失败会重新刷新整个页面）

常用配置——哈希

在我们给打包的文件进行命名的时候，会使用 placeholder 占位符，这里详细说说占位符的这几个属性：

hash 本身是通过 MD4 的散列函数处理后，生成一个 128 位的 hash 值（32 个十六进制）

• hash 值的生成和整个项目有关系：
  • 比如我们现在有两个入口 index.js 和 main.js；
  • 它们分别会输出到不同的 bundle 文件中，并且在文件名称中我们有使用 hash；
  • 这个时候，如果修改了 index.js 文件中的内容，那么 hash 会发生变化，两个文件的名称都会发生变化；
• chunkhash 可以有效的解决上面的问题，它会根据不同的入口进行借来解析来生成 hash 值：
  • 比如我们修改了 index.js，那么 main.js 的 chunkhash 是不会发生改变的；
• contenthash 表示生成的文件 hash 名称，只和内容有关系：
  • 比如我们的 index.js，引入了一个 style.css，style.css 有被抽取到一个独立的 css 文件中；
  • 这个 css 文件在命名时，如果我们使用的是 chunkhash，那么当 index.js 文件的内容发生变化时，css 文件的命名也会发生变化；
  • 这个时候我们可以使用 contenthash，不影响 css 文件名