安全地读取查询字符串参数的最佳方法是什么？

2022年9月更新：大多数JS运行时现在都有一个URL类型，可以通过searchParams属性公开查询参数。即使您只想从相对URL中获取URL参数，也需要提供基本URL，但它比自己编写更好。

let searchParams/*: URLSearchParams*/ = new URL(
    myUrl,
    // Supply a base URL whose scheme allows
    // query parameters in case `myUrl` is scheme or
    // path relative.
    'http://example.com/'
).searchParams;
console.log(searchParams.get('paramName')); // One value
console.log(searchParams.getAll('paramName'));

.get和.getAll之间的区别在于第二个返回一个数组，如果同一参数名在/path？foo=bar&foo=baz中出现多次，则该数组可能很重要。

不要使用escape和unescape，请使用decodeURIComponent。 例如：

function queryParameters(query) {
  var keyValuePairs = query.split(/[&?]/g);
  var params = {};
  for (var i = 0, n = keyValuePairs.length; i < n; ++i) {
    var m = keyValuePairs[i].match(/^([^=]+)(?:=([\s\S]*))?/);
    if (m) {
      var key = decodeURIComponent(m[1]);
      (params[key] || (params[key] = [])).push(decodeURIComponent(m[2]));
    }
  }
  return params;
}

并将document.location.search传递进去。

仅仅将<转换为&lt;是不够的，必须确保在将内容注入HTML时，不会允许脚本运行。请务必对以下字符进行转义：<、>、&和"。

这并不能保证参数没有被篡改。如果需要验证URL是由您的服务器之一生成的，请搜索URL签名。

我认为使用白名单方法会更好。不要只剥离“坏”东西，而是剥离除你认为“安全”的内容之外的所有内容。

此外，我强烈建议对参数进行HTML编码。应该有很多可以完成这个任务的JavaScript函数。

你可以使用JavaScript的escape()和unescape()函数。

有几件事情你应该做：

• 根据类型、格式、范围等严格列出接受的值的白名单
• 明确黑名单中的某些字符（即使这通常是可绕过的），如果你的白名单不是非常严格。
• 输出之前编码值，如果你正在使用 Anti-XSS，你已经知道简单的 HtmlEncode 是不够的
• 通过 DOM 设置 src 属性 - 而不是生成 HTML 片段
• 仅将动态值用作查询字符串参数，而不是用于任意站点；即硬编码服务器名称、目标页面等。
• 您的网站是否使用 SSL？如果是，则使用框架可能会导致与 SSL UI 不一致...
• 通常使用命名框架，可以允许框架欺骗；如果在安全站点上，这可能是一个相关的攻击向量（用于钓鱼等）。

您可以使用正则表达式来验证是否有一个P后面跟着9个整数以及15个字母数字值。我想我桌子上的RegEx书中有一些JavaScript示例可以帮助您。

将字符集限制为仅ASCII值将有所帮助，并遵循上述所有建议（白名单，通过DOM设置src等）。