技能 frontend-mobile-security-xss-scan
🛡️

frontend-mobile-security-xss-scan

安全 ⚡ 包含脚本📁 文件系统访问

扫描前端代码中的 XSS 漏洞

此技能帮助开发者识别 React、Vue、Angular 和原生 JavaScript 代码中的跨站脚本 (XSS) 漏洞,提供可操作的修复方案和安全编码模式。

支持: Claude Codex Code(CC)
🥉 74 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“frontend-mobile-security-xss-scan”。 扫描此代码中的 XSS: element.innerHTML = userInput;

预期结果:

## 发现 XSS 漏洞

**严重程度:** 严重
**类型:** 不安全的 HTML 操作
**位置:** 第 1 行
**CWE:** CWE-79

**描述:** 将用户控制的数据分配给 innerHTML 会产生 XSS 风险。

**修复:** 对于纯文本使用 element.textContent,或使用 DOMPurify 进行过滤:
```javascript
import DOMPurify from 'dompurify';
element.innerHTML = DOMPurify.sanitize(userInput);
```

正在使用“frontend-mobile-security-xss-scan”。 检查此 React 代码:<div dangerouslySetInnerHTML={{__html: content}} />

预期结果:

## 发现 React XSS 风险

**严重程度:** 高
**类型:** React 不安全的 HTML 渲染
**位置:** 组件

**问题:** 使用了未过滤的 dangerouslySetInnerHTML。

**修复:** 在渲染前进行过滤:
```javascript
import DOMPurify from 'dompurify';
<div dangerouslySetInnerHTML={{__html: DOMPurify.sanitize(content)}} />
```

正在使用“frontend-mobile-security-xss-scan”。 在以下代码中查找 XSS 问题:<a href={userUrl}>Link</a>

预期结果:

## 发现 URL 注入风险

**严重程度:** 高
**类型:** URL 注入

**问题:** href 属性中使用了未经验证的用户提供的 URL。

**修复:** 验证和过滤 URL:
```javascript
const safeUrl = url.startsWith('http://') || url.startsWith('https://')
? url
: '#';
```

安全审计

安全
v1 • 2/25/2026

This is a legitimate defensive security skill for XSS vulnerability detection. The static analyzer flagged patterns are educational examples of vulnerable code that the skill teaches users how to detect. These patterns include innerHTML usage, fs.readFile for scanning files, and security best practices - all defensive security content, not malicious code. The skill provides guidance on identifying and fixing XSS vulnerabilities in frontend codebases.

1
已扫描文件
325
分析行数
4
发现项
1
审计总数
中风险问题 (1)
SKILL.md:50-51SKILL.md:82-92SKILL.md:163-177
Educational Code Patterns
The skill contains examples of vulnerable code patterns (innerHTML, dangerouslySetInnerHTML, location.href) to teach detection. These are educational examples for vulnerability scanning, not actual vulnerabilities.
低风险问题 (1)
SKILL.md:59
Filesystem Access for Scanning
Uses fs.readFile to read source files for security scanning. This is legitimate for a vulnerability scanner tool.

风险因素

⚡ 包含脚本 (1)
SKILL.md:214
📁 文件系统访问 (1)
SKILL.md:59
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
98
安全
91
规范符合性

你能构建什么

Web 应用程序安全审计

在生产发布前扫描 React 或 Vue 代码库,以识别和修复 XSS 漏洞。

CI/CD 安全集成

将 XSS 扫描集成到构建流水线中,在部署前捕获漏洞。

安全代码审查助手

在开发过程中用作编码助手,审查代码变更中的安全问题。

试试这些提示

基本 XSS 扫描 
扫描此 JavaScript 代码中的 XSS 漏洞:

```
[在此处粘贴代码]
```

识别任何 innerHTML 使用、document.write 调用或未过滤的用户输入渲染。
React 组件安全检查 
审查此 React 组件中的 XSS 漏洞:

```
[在此处粘贴 React 代码]
```

检查 dangerouslySetInnerHTML 使用、事件处理程序注入和基于 prop 的数据处理。
完整安全报告 
对以下代码库执行全面的 XSS 安全审计。包括严重程度级别、CWE 参考和建议的修复方法:

```
[在此处粘贴代码]
```
安全编码指导 
此潜在漏洞代码模式的安全替代方案是什么?

```
[在此处粘贴漏洞代码]
```

使用 DOMPurify 或框架安全方法提供具体修复方案。

最佳实践

  • 在渲染 HTML 前始终使用 DOMPurify 或类似库过滤用户输入
  • 渲染纯文本内容时优先使用 textContent 而非 innerHTML
  • 在分配给 href 或 location 前验证并白名单 URL 协议 (http、https)

避免

  • 使用 innerHTML 直接处理用户输入而未进行过滤
  • 使用 dangerouslySetInnerHTML 而未使用 DOMPurify 过滤
  • 将用户控制的 URL 分配给 location.href 而未进行验证

常见问题

什么是 XSS?
跨站脚本 (XSS) 是一种漏洞,允许攻击者向其他用户查看的网页中注入恶意脚本。
此技能是否支持 TypeScript?
是的,此技能分析 TypeScript 代码并识别与 JavaScript 中相同的漏洞模式。
这可以扫描 Vue 应用程序吗?
是的,此技能包含 Vue 特定漏洞的检测,如 v-html 指令的误用。
使用哪些严重程度级别?
根据可利用性和潜在影响,发现结果分为严重、高、中、低等级别。
它会为漏洞提供修复方法吗?
是的,每个发现都包含具体的修复指导,提供使用安全替代方案的代码示例。
这可以替代手动安全审查吗?
此技能是有帮助的助手,但应作为全面安全审计和渗透测试的补充,而非替代。

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/frontend-mobile-security-xss-scan

引用

main

文件结构

📄 SKILL.md