frontend-mobile-security-xss-scan
フロントエンドコードのXSS脆弱性スキャン
このスキルは、開発者がReact、Vue、Angular、バニラJavaScriptコードの機会戸cripting(XSS)脆弱性を特定し、実行可能な修正と安全なコーディングパターンを提供します。
تنزيل ZIP المهارة
رفع في Claude
اذهب إلى Settings → Capabilities → Skills → Upload skill
فعّل وابدأ الاستخدام
اختبرها
استخدام "frontend-mobile-security-xss-scan". このコードをXSSとしてスキャン:element.innerHTML = userInput;
النتيجة المتوقعة:
## XSS脆弱性を検出
**重大度:** критический
**タイプ:** 安全でないHTML操作
**場所:** 1行目
**CWE:** CWE-79
**説明:** innerHTMLにユーザーデータを割り当てると、XSSリスクが発生します。
**修正:** プレーンテキストにはelement.textContentを使用し、DOMPurifyでサニタイズします:
```javascript
import DOMPurify from 'dompurify';
element.innerHTML = DOMPurify.sanitize(userInput);
```
استخدام "frontend-mobile-security-xss-scan". このReactコードを確認:<div dangerouslySetInnerHTML={{__html: content}} />
النتيجة المتوقعة:
## React XSSリスクを検出
**重大度:** 高
**タイプ:** React安全でないHTMLレンダリング
**場所:** コンポーネント
**問題:** サナタイズなしのdangerouslySetInnerHTMLの使用。
**修正:** レンダリング前にサナタイズ:
```javascript
import DOMPurify from 'dompurify';
<div dangerouslySetInnerHTML={{__html: DOMPurify.sanitize(content)}} />
```
استخدام "frontend-mobile-security-xss-scan". XSSの問題を発見:<a href={userUrl}>Link</a>
النتيجة المتوقعة:
## URLインジェクションリスクを検出
**重大度:** 高
**タイプ:** URLインジェクション
**問題:** 検証なしのhref属性でのユーザー提供URL。
**修正:** URLを検証してサナタイズ:
```javascript
const safeUrl = url.startsWith('http://') || url.startsWith('https://')
? url
: '#';
```
التدقيق الأمني
آمنThis is a legitimate defensive security skill for XSS vulnerability detection. The static analyzer flagged patterns are educational examples of vulnerable code that the skill teaches users how to detect. These patterns include innerHTML usage, fs.readFile for scanning files, and security best practices - all defensive security content, not malicious code. The skill provides guidance on identifying and fixing XSS vulnerabilities in frontend codebases.
مشكلات متوسطة المخاطر (1)
مشكلات منخفضة المخاطر (1)
عوامل الخطر
⚡ يحتوي على سكربتات (1)
📁 الوصول إلى نظام الملفات (1)
درجة الجودة
ماذا يمكنك بناءه
Webアプリケーションのセキュリティ監査
本番リリース前にReactまたはVueコードベースをスキャンして、XSS脆弱性を特定し修正します。
CI/CDセキュリティ統合
XSSスキャンをビルドパイプラインに統合し、デプロイ前に脆弱性を検出します。
セキュアコードレビューアシスタント
開発中にコード変更をセキュリティの問題を確認するためのコーディングコンパニオンとして使用します。
جرّب هذه الموجهات
このJavaScriptコードのXSS脆弱性をスキャンしてください: ``` [PASTE CODE HERE] ``` innerHTMLの使用、document.write呼び出し、またはサニタイズされていないユーザー入力のレンダリングを特定してください。
このReactコンポーネントのXSS脆弱性を確認してください: ``` [PASTE REACT CODE HERE] ``` dangerouslySetInnerHTMLの使用、イベントハンドラーインジェクション、およびプロップベースのデータ処理を確認してください。
次のコードベースで包括的なXSSセキュリティ監査を実行してください。重大度レベル、CWE参照、および推奨される修正を含める: ``` [PASTE CODE HERE] ```
この潜在的に脆弱なコードパターンの安全な代替案は何ですか? ``` [PASTE VULNERABLE CODE] ``` DOMPurifyまたはフレームワーク安全なメソッドを使用した具体的な修正を提供してください。
أفضل الممارسات
- DOMPurifyまたは同様のライブラリを使用して、HTMLをレンダリングする前にユーザー入力を常にサナタイズする
- プレーンテキストコンテンツのレンダリングにはinnerHTMLではなくtextContentを優先する
- hrefまたはlocationに割り当てる前に、URLプロトコル(http、https)を検証しホワイトリスト化する
تجنب
- サナタイズなしの直接的なユーザー入力でのinnerHTMLの使用
- DOMPurifyサナタイズなしのdangerouslySetInnerHTMLの使用
- 検証なしのlocation.hrefへのユーザー制御URLの割り当て