React Bảo mật & Thực hành tốt nhất
Ngăn chặn XSS, bảo vệ CSRF, dangerouslySetInnerHTML, Content Security Policy, HTTPS, sanitization
1Tấn công XSS (Cross-Site Scripting) là gì?
Tấn công XSS (Cross-Site Scripting) là gì?
Câu trả lời
Tấn công XSS liên quan đến việc chèn mã JavaScript độc hại vào ứng dụng web để thực thi trong trình duyệt của người dùng khác. Kẻ tấn công khai thác các lỗ hổng validation hoặc escaping để đánh cắp cookie, session token hoặc thực hiện các hành động trái phép. React cung cấp bảo vệ gốc bằng cách tự động escape các giá trị JSX, nhưng vẫn còn lỗ hổng với dangerouslySetInnerHTML hoặc thao tác DOM trực tiếp.
2React bảo vệ chống tấn công XSS theo mặc định như thế nào?
React bảo vệ chống tấn công XSS theo mặc định như thế nào?
Câu trả lời
React tự động escape tất cả các giá trị được chèn qua JSX bằng cách chuyển đổi chúng thành văn bản thuần trước khi render. Bảo vệ này ngăn chặn thực thi script độc hại ngay cả khi mã HTML được chèn vào dữ liệu. Không giống innerHTML diễn giải và thực thi HTML, React xử lý các thẻ như văn bản thuần, khiến việc chèn JavaScript độc hại qua props hoặc state thông thường là không thể.
3Tại sao dangerouslySetInnerHTML được coi là nguy hiểm trong React?
Tại sao dangerouslySetInnerHTML được coi là nguy hiểm trong React?
Câu trả lời
Thuộc tính này bỏ qua bảo vệ XSS gốc của React bằng cách chèn HTML thô trực tiếp vào DOM mà không escape. Nếu nội dung đến từ nguồn không đáng tin cậy hoặc API bên ngoài, nó có thể chứa JavaScript độc hại sẽ được thực thi. Tên rõ ràng dangerouslySetInnerHTML buộc các nhà phát triển nhận thức rõ ràng về rủi ro bảo mật và triển khai sanitization phù hợp với các thư viện như DOMPurify.
Sự khác biệt chính giữa tấn công XSS Stored và Reflected là gì?
Cách tiếp cận nào nên được ưu tiên để hiển thị HTML từ API bên ngoài trong React?
+19 câu hỏi phỏng vấn
Các chủ đề phỏng vấn React / Next.js khác
Nền tảng JavaScript
Nền tảng React
React Hooks
Vòng đời component
React Router
Quản lý state với Context
Biểu mẫu và Controlled Components
Lấy dữ liệu & API
React Query (TanStack Query)
Styling & CSS-in-JS
Nền tảng Next.js
TypeScript với React
Data Fetching trong Next.js
Server Actions trong Next.js
Định tuyến & Điều hướng trong Next.js
API Routes trong Next.js
Metadata & SEO trong Next.js
Middleware & Auth trong Next.js
Kiểm thử React
Zustand State Management
Tối ưu hiệu năng React
Error Boundaries & Error Handling
Advanced React Patterns
Tính năng nâng cao của Next.js
Triển khai & Môi trường Production với Next.js
Architecture & Design Patterns
React Server Components
Quốc tế hóa Next.js
Nắm vững React / Next.js cho lần phỏng vấn tiếp theo
Truy cập tất cả câu hỏi, flashcards, bài kiểm tra kỹ thuật, bài tập code review và mô phỏng phỏng vấn.
Bắt đầu miễn phí