做什么会用到
- 01做社区/评论/论坛/IM 类产品:XSS 是头号威胁,用户发的内容必须转义
- 02做电商/SaaS 后台:搜索框、商品描述、用户资料都是 XSS 常见入口
- 03做富文本编辑器(写博客、发笔记):最容易中招,必须用 DOMPurify 等库过滤
- 04做纯静态展示网站(不收用户输入):几乎不会中 XSS
- 05做 Chrome 扩展:自己页面要防 XSS,因为扩展权限大,中招了后果严重
想用它怎么问 AI
“我做【XXX 产品】,有【评论/搜索/富文本】等用户输入点,技术栈是【React / Vue / 原生】。请列出每种输入点对应的 XSS 防御方案(转义 / CSP / DOMPurify)和一段可直接用的示例代码。”
打个比方
像有人在公告栏贴了张会偷偷开你钱包的小纸条,后面每个路人一看就中招。