使用 JavaScript 处理注入攻击

攻击者会尝试用多种方式非法访问您的应用程序。您必须了解如何应对这些攻击，以及如何保护用户安全。攻击者入侵应用程序最常见的方式之一就是注入攻击。

注射攻击

注入攻击有好几种类型。SQL注入攻击是指前端查询时将不受信任的数据发送到后端。这类攻击最为危险，因为它们可以篡改系统数据库。

JavaScript 注入攻击不如 SQL 注入攻击那样具有破坏性，因为它们始终停留在客户端。大多数情况下，JavaScript 注入攻击的目标是可以插入文本的表单。因此，联系表单、文章评论以及任何其他用户可以输入文字的区域都容易受到此类攻击。

攻击者可能会先发起 JavaScript 注入攻击，以此来探寻访问后端系统的线索。这意味着他们可能会尝试更改 cookie 设置，从而冒充其他用户登录。

虽然只要应用程序配置正确，它们所能做的大多数事情都仅限于更改用户界面，但您可以采取一些快速的措施来增加额外的保护。

由于前端是抵御此类攻击的第一道防线，因此您需要采取一些常见的措施来保护您的应用程序。

对表单数据进行清理：只允许预期的数据通过请求。添加表单验证，以便在用户输入无效值时发出提示。此外，使用 TypeScript 为数据添加类型声明也很有帮助。

在后端添加额外的验证：前端应该对所有输入进行验证，但后端也进行验证并无坏处。这是一种对尝试从数据库获取信息或向数据库发送数据的查询进行双重检查的方法。

请确保使用安全的 API：例如，安全的 API 会提供一个带有参数的接口供您使用，而不是通过查询直接访问数据。您还可以考虑使用 ORM 来处理数据请求。

为了向您展示一些防止注入攻击的方法，这里有一个包含一些安全信息的表单。

这里的安全措施主要是表单验证，但这可以阻止比你想象中多得多的攻击。

保护应用免受攻击本身就是一项艰巨的任务。添加表单验证之类的功能是第一道防线。在匆忙开发时，很容易忽略表单验证，而仅仅依赖后端来处理一切。

如果你需要向团队证明在表单中添加验证的价值，只需让他们想象一下有人在周六凌晨两点入侵了生产环境。然后让他们想象一下修复漏洞、解释问题并重新赢得用户信任会是什么样子。

然后直接把它添加到下一个迭代周期或者任何最合适的时间。