JavaScript 框架安全报告2019

做者：Liran Tal

翻译：疯狂的技术宅

原文：https://snyk.io/blog/javascri...

未经容许严禁转载

欢迎来到 Snyk 的 JavaScript 框架状态安全报 告2019。

在此报告中，咱们调查了 Angular 和 React 生态系统的安全状态。在这份报告种咱们根本没有将它们做为竞争性框架进行比较。相反，咱们把它们做为可行的构建 JavaScript 项目的前端生态系统的替代方案进行了审查，同时重点关注了每种方案的安全风险和最佳实践，以及它们之间的差别。

在这里下载报告

咱们强烈建议下载完整报告的电子版，但还提供了如下内容做为博客文章：

• JavaScript 框架安全性状态报告 2019（本文）
• Angular vs React: Security Bakeoff 2019
• 2019 Angular 和 React 安全漏洞的分析与比较
• Angular vs React：间接依赖的安全风险
• React 和 Angular 安全编码实践比较
• 84％ 的网站受 jQuery XSS 漏洞的影响

该报告涵盖：

• Angular 和 React 核心项目的安全实践
• 在对每一个生态系统中漏洞的深刻研究的基础上，得出的 Angular 和 React 模块生态系统的安全状态
• 其余常见 JavaScript 前端框架替代方案（例如 Vue.js，Bootstrap 和 jQuery）的安全性实践
• 不一样替代方案之间，尤为是 Angular 和 React 之间的重大安全性差别

JavaScript 框架安全性报告 2019 中的关键要点

如下是咱们报告的主要内容：

• Angular vs. React 核心项目安全

  • Angular 在其原有的 AngularJS 项目（Angular v1.x）中存在 23 个安全漏洞。
  • 在 Angular 核心框架组件中未发现任何安全漏洞。
  • React 有一些安全漏洞；彷佛常常会有漏洞在其核心库中被发现，并每两年披露一次。
  • 只有一个 React 核心项目漏洞分配了官方 CVE。 CVE 根本没有列出任何关于 Angular 的漏洞报告。总之，这些都证实开源社区须要利用漏洞数据库，以便发现相关的安全问题。
  • Snyk 报告了 Angular 和 React 核心项目中的 26 个安全漏洞，其报告没有关于对 npm 的审核。

• Angular vs. React模块生态系统安全性

  • React 和 Angular 模块生态系统在广受欢迎的前端库组件中都显示存在安全漏洞，这些前端组件的下载次数高达数百万，其中有些到目前为止尚无安全修复。
  • 咱们目击了恶意模块影响了 Angular 和 React 生态系统，并试图收集前端 Web 程序中使用的信用卡、密码和其余敏感信息。
  • Next.js 框架经过在项目的整个生命周期内迅速解决全部的五个漏洞，并在一周以内提供了修复程序，从而表现出对安全性的巨大责任。

有关 CVE 和安全漏洞的信息

为了调查本报告中所涉及的每一个生态系统的整体安全情况，咱们讨论的因素包括在不一样相关软件包中肯定的安全漏洞。并根据已知漏洞的状况（有时与已知漏洞进行比较）来审查和讨论这些漏洞。

在 CVE 编号颁发机构（CNA）维护的常见漏洞和披露（CVE）列表中，为已知漏洞分配了标识号，并为 CVE 标注了 CVSS 分数，以此来讲明对所列漏洞的严重程度。了解关于如何经过 CVSS 对漏洞的严重程度进行评分的信息。

• Angular vs. React 安全态势

  • Angular 有可见且可实现的安全性准则、沟通方式和负责的披露政策，这是 React 项目中所没有的。
  • Angular 有更普遍的内置支持，可用于不一样上下文中的数据清理和输出编码，例如 HTML 锚点（或连接）元素中的 URL 属性等。
  • React 没有内置的数据清理控件，而是在大多数默认状况下对输出进行编码，并将其留给开发人员来处理未处理的状况，例如 ref 和 URL 属性（后者在 React v16.9.0 中已解决）。
  • Angular 在其 HTTP 服务中经过内置的安全机制提供了对跨站请求伪造（CSRF）漏洞的支持。而 React 开发人员须要独立解决这些问题。

• 前端生态系统安全性

  • 在过去的 12 个月中，jQuery 有超过 1.2 亿次的下载，而且根据 W3Techs 的统计，在全部使用 jQuery 的网站中，有 84％ 的网站使用 jQuery v1.x，有四个很是严重的 XSS 漏洞影响了它。实际上，若是你没有使用jQuery v3.4.0 或更高版本（对于大多数 jQuery 用户来讲都是如此），则说明你用的是包含安全漏洞的版本。
  • 在过去的 12 个月中，Bootstrap 已被下载 79,185,409 次，而其中共包含 7 个跨站点脚本（XSS）漏洞。其中三个已在 2019 年披露。值得注意的社区模块，例如 bootstrap-markdown 在同一时间段内下载量超过300,000，尽管它没有安全性修复或升级其 XSS 漏洞的路径。 bootstrap-select 有超过 200 万次下载，并具备着严重的 XSS 漏洞，Snyk 研究团队借助其专有的威胁情报系统发现了该漏洞。
  • 在过去的 12 个月中，Vue.js 框架的下载次数已超过 4000 万次，Vue.js 内核总共存在四个漏洞，不过已经被修复。

---

能够继续阅读 Angular vs React: Security Bakeoff 2019 或者 下载完整报告.。

该报告回顾了每一个框架的总体安全性、由社区推进的模块生态系统以及与之相关的安全风险；基于这些观点，该报告经过重点介绍该领域所采用的最佳安全实践来确保安全的代码，最终为 Angular 和 React 用户提供了可行的安全建议。

---

本文首发微信公众号：前端先锋

欢迎扫描二维码关注公众号，天天都给你推送新鲜的前端技术文章

---

欢迎继续阅读本专栏其它高赞文章：

• 深刻理解Shadow DOM v1
• 一步步教你用 WebVR 实现虚拟现实游戏
• 13个帮你提升开发效率的现代CSS框架
• 快速上手BootstrapVue
• JavaScript引擎是如何工做的？从调用栈到Promise你须要知道的一切
• WebSocket实战：在 Node 和 React 之间进行实时通讯
• 关于 Git 的 20 个面试题
• 深刻解析 Node.js 的 console.log
• Node.js 到底是什么？
• 30分钟用Node.js构建一个API服务器
• Javascript的对象拷贝
• 程序员30岁前月薪达不到30K，该何去何从
• 14个最好的 JavaScript 数据可视化库
• 8 个给前端的顶级 VS Code 扩展插件
• Node.js 多线程彻底指南
• 把HTML转成PDF的4个方案及实现

---

• 更多文章...