JavaScript 安全审查
检查 XSS、CSRF、原型污染等安全问题,支持 React/Vue/Angular
Invalid
This skill can't be scored yet
Validation errors are blocking scoring. Review and fix them to unlock Quality, Impact and Security scores. See what needs fixing →
JavaScript 安全审查
⚠️ 核心规则
- 永不信任用户输入 - 所有用户数据需校验和转义
- 默认安全 - 使用安全 API(textContent 而非 innerHTML)
- 纵深防御 - 多层安全措施,不依赖单一防护
快速开始
/js-security-check # 智能扫描 src 目录
/js-security-check file src/xxx.vue # 扫描指定文件
/js-security-check report # 生成详细报告问题分级
| 前缀 | 含义 | 处理方式 |
|---|---|---|
🔴 严重 | 可被直接利用 | 阻止发布 |
🟡 中等 | 需特定条件 | 尽快修复 |
⚪ 建议 | 最佳实践 | 可选优化 |
检查维度
| 维度 | 检查项 |
|---|---|
| DOM 安全 | innerHTML、document.write、insertAdjacentHTML |
| URL 安全 | Open Redirect、javascript: scheme |
| 代码执行 | eval、new Function、setTimeout(string) |
| 原型污染 | proto、constructor、Object.assign |
| 存储安全 | localStorage 敏感信息、Cookie 属性 |
| 框架安全 | v-html、dangerouslySetInnerHTML |
📦 按需加载资源
| 资源 | URI |
|---|---|
| 完整检查清单 | skill://js-security-check/references/checklist.md |
| 修复示例 | skill://js-security-check/references/fix-examples.md |
| 评分标准 | skill://js-security-check/references/scoring-standard.md |
📦 可用资源
skill://js-security-check/references/checklist.mdskill://js-security-check/references/fix-examples.mdskill://js-security-check/references/report-format.mdskill://js-security-check/references/scoring-standard.mdskill://js-security-check/references/security-toolkit.md
根据 SKILL.md 中的 IF-THEN 规则判断是否需要加载
- Repository
- TencentBlueKing/bk-bcs
- Commit
b08ac38
- Last updated
- Created
Is this your skill?
If you maintain this skill, you can claim it as your own. Once claimed, you can manage eval scenarios, bundle related skills, attach documentation or rules, and ensure cross-agent compatibility.