Frontend Security Coder
保护您的前端代码
前端应用程序容易受到 XSS、CSRF 和其他攻击。此技能生成安全的代码模式并识别 Web 应用程序中的漏洞,以防范常见的攻击向量。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“Frontend Security Coder”。 在 React 中生成一个清理用户输入的 XSS 安全输入组件
预期结果:
一个 React 组件,使用 DOMPurify 进行适当的输入清理、输出编码和以安全为中心的 prop 验证。
正在使用“Frontend Security Coder”。 为 JavaScript 应用程序编写 CSRF 防护代码
预期结果:
JavaScript 模块,带有 fetch 包装器,可自动附加 CSRF 令牌、验证响应并处理令牌刷新。
正在使用“Frontend Security Coder”。 为 SPA 创建安全认证模式
预期结果:
完整的认证模块,使用 httpOnly cookie、带有安全存储的刷新令牌和自动会话管理。
安全审计
安全This is a prompt-only skill that generates frontend security content. No executable code was detected. The skill provides security guidance through natural language prompts without any system-level access, network calls, or file operations. Risk score is 0/100.
质量评分
你能构建什么
安全组件开发
生成具有内置 XSS 防护和输入验证的安全感知型 React、Vue 或 Angular 组件
安全代码审查
获取前端代码片段的详细安全分析,包括具体的漏洞识别和修复指导
安全最佳实践学习
通过生成的示例和解释学习前端开发的安全编码模式和实践
试试这些提示
在 [FRAMEWORK] 中生成一个 XSS 安全的输入组件,该组件清理用户输入并防止脚本注入攻击。包含适当的转义函数。
为前端应用程序编写一个 CSRF 令牌管理模块。包括令牌检索、请求验证和自动令牌刷新逻辑。
为单页应用程序生成安全认证流程模式。包括令牌存储最佳实践、刷新令牌处理和会话超时逻辑。
为现代 Web 应用程序创建全面的内容安全策略配置。包括脚本、样式、图片和 API 调用的指令。
最佳实践
- 始终在客户端和服务器端验证和清理用户输入,即使存在客户端验证
- 使用现代安全库(如 DOMPurify)进行 HTML 清理,而不是编写自定义转义函数
- 实施内容安全策略头,为防御 XSS 攻击提供额外的防护层
避免
- 在未经清理的情况下将用户提供的数据与 innerHTML 一起使用 - 这会直接创建 XSS 漏洞
- 将敏感令牌存储在 localStorage 而不是 httpOnly cookie 中 - 令牌可被 JavaScript 访问
- 因为增加复杂性而禁用 API 端点的 CSRF 保护 - 这会使应用程序暴露于跨站请求伪造攻击