載說明：原創不易，未經授權，謝絕任何形式的轉載

在JavaScript開發的世界中，安全性是保護應用程序免受潛在威脅和漏洞的至關重要。幸運的是，開源社區貢獻了各種強大的安全庫，可以加強JavaScript項目的安全性。在本文中，我們將探討7個必要的JavaScript安全庫，這些庫都可以在GitHub上找到。

1. DOMPurify

這是GitHub上星標最多的庫之一，擁有超過11k顆星星。這是一個強大的庫，提供安全可靠的HTML過濾。它通過過濾不可信HTML和保護應用程序免受惡意用戶輸入來幫助防止跨站腳本攻擊（XSS攻擊）。

使用DOMPurify非常簡單，可以通過以下步驟來實現：

1. 安裝DOMPurify庫

可以通過npm來安裝DOMPurify庫，命令如下：

npm install dompurify

2. 導入DOMPurify庫

在需要使用DOMPurify的文件中，導入DOMPurify庫，代碼如下：

import DOMPurify from 'dompurify';

3. 使用DOMPurify過濾HTML

使用DOMPurify庫過濾HTML非常簡單，可以直接調用DOMPurify.sanitize()方法，將需要過濾的HTML字符串作為參數傳入即可。代碼示例如下：

const dirtyHtml='<script>alert("XSS Attack!");</script>';
const cleanHtml=DOMPurify.sanitize(dirtyHtml);
console.log(cleanHtml); // 輸出：<span>alert("XSS Attack!");</span>

以上代碼會將`dirtyHtml`中的XSS攻擊代碼過濾掉，只保留安全的HTML標簽和內容。

除此之外，DOMPurify還提供了一些高級用法，比如配置選項、自定義策略等。具體可以參考DOMPurify的官方文檔。

https://github.com/cure53/DOMPurify

2. Helmet

這是一個針對Node.js應用程序的重要安全庫。它通過設置各種HTTP頭，如內容安全策略（CSP），來防止常見的Web漏洞，從而保護您的應用程序安全。它在GitHub上擁有超過9.5k顆星星。

helmet 是一個用于保護 Express.js 應用程序的庫，它幫助您通過設置 HTTP 頭部來增加應用程序的安全性。它可以防止一些常見的 Web 安全漏洞，如跨站腳本攻擊（XSS）、點擊劫持、內容嗅探等。以下是 helmet 庫的用法和代碼示例：

1、首先，您需要在您的 Express.js 項目中安裝 helmet 庫，可以使用以下命令：

npm install helmet

2、在您的 Express.js 應用程序中，導入 helmet 并將其應用于您的應用程序：

const express=require('express');
const helmet=require('helmet');

const app=express();

// 使用 helmet 中間件來增加安全性的 HTTP 頭部
app.use(helmet());

// ...其他中間件和路由的設置...

// 啟動服務器
const port=process.env.PORT || 3000;
app.listen(port, ()=> {
  console.log(`Server is running on port ${port}`);
});

通過在應用程序中使用 helmet，它會自動設置一系列的 HTTP 頭部，從而增強您的應用程序的安全性。以下是一些示例的設置：

防止跨站腳本攻擊（XSS）：

helmet 會設置 X-XSS-Protection 頭部，幫助防止瀏覽器執行惡意注入的腳本。

禁止嗅探 MIME 類型：

helmet 會設置 X-Content-Type-Options 頭部，防止瀏覽器嗅探 MIME 類型。

禁止點擊劫持：

helmet 會設置 X-Frame-Options 頭部，防止頁面被嵌套在 iframe 中，從而減少點擊劫持風險。

設置安全的傳輸策略：

helmet 會設置 Strict-Transport-Security 頭部，強制使用 HTTPS 來保護敏感數據的傳輸。

這些只是 helmet 可以為您自動設置的一些安全性增強措施。通過使用 helmet，您可以輕松地提高您的 Express.js 應用程序的安全性，而無需手動編寫大量的安全性相關代碼。

總的來說，helmet 是一個非常有用的庫，可以幫助您確保您的 Express.js 應用程序在安全性方面具有良好的基礎保護。記住，安全性是開發過程中至關重要的一部分，始終要保持警惕。

https://github.com/helmetjs/helmet

3. Bcrypt

這是一個用于在 Node.js 應用程序中進行安全密碼哈希的庫。它使用了bcrypt算法，該算法旨在保護用戶密碼免受未經授權的訪問。它在 GitHub 上有超過7千顆星。

以下是 bcrypt 庫的用法和相關的代碼示例：

1、首先，您需要在您的 Node.js 項目中安裝 bcrypt 庫，可以使用以下命令：

npm install bcrypt

2、在您的 Node.js 應用程序中，導入 bcrypt 并使用它來進行密碼哈希：

const bcrypt=require('bcrypt');
const saltRounds=10; // 這是生成 salt 的輪數，可以根據需求進行調整

// 要哈希的原始密碼
const plainPassword='mySecurePassword';

// 生成 salt，并使用 salt 對密碼進行哈希
bcrypt.genSalt(saltRounds, (err, salt)=> {
  if (err) throw err;
  bcrypt.hash(plainPassword, salt, (err, hash)=> {
    if (err) throw err;

    // 此處的 hash 就是哈希后的密碼，可以保存到數據庫中
    console.log('Hashed Password:', hash);

    // 可以在這里進行密碼校驗
    bcrypt.compare(plainPassword, hash, (err, result)=> {
      if (err) throw err;

      if (result) {
        console.log('Password is correct.');
      } else {
        console.log('Password is incorrect.');
      }
    });
  });
});

在這個示例中，首先我們使用 bcrypt.genSalt() 函數生成一個 salt，然后使用 bcrypt.hash() 函數將原始密碼和 salt 進行哈希，生成最終的哈希密碼。您可以將這個哈希密碼保存到數據庫中。

當用戶登錄時，您可以使用 bcrypt.compare() 函數來比較用戶輸入的密碼和數據庫中的哈希密碼，以進行密碼驗證。

總的來說，node.bcrypt.js 是一個非常有用的庫，用于在 Node.js 應用程序中進行密碼哈希，以增加密碼的安全性。通過使用 bcrypt，您可以確保用戶密碼在存儲和驗證時都得到了適當的保護，從而減少潛在的安全風險。記住，密碼安全性是非常重要的，始終要采取適當的措施來保護用戶的敏感信息。

https://github.com/kelektiv/node.bcrypt.js

4、jsrsSsign

這個庫實現了多種密碼學標準和算法，如RSA、HMAC和X.509證書。它在處理數字簽名和與證書相關的任務時非常有用，特別適用于Web應用程序。在GitHub上獲得了超過3千顆星。

在當今數字時代，數據安全性至關重要。為了確保用戶數據的保密性、完整性和可靠性，開發人員需要采取各種措施來應對安全挑戰。在這個背景下，jsrsasign（RSA-Sign JavaScript Library）應運而生，作為一款強大的 TypeScript/JavaScript 庫，支持 RSA/RSAPSS/ECDSA/DSA 簽名/驗證、ASN.1、PKCS#1/5/8 私鑰/公鑰、X.509 證書、CRL、OCSP、CMS SignedData、TimeStamp、CAdES JSON Web Signature/Token/Key 等一系列密碼學功能，全面助力開發人員保護應用免受各種潛在的安全威脅。

您可以通過 Node NPM 或 Bower 進行安裝，或者從多個 CDN 站點加載庫。以下是一個簡單的入門示例，展示了如何加載加密的 PKCS#5 私鑰并進行簽名操作：

// 導入 jsrsasign
var jsrsasign=require('jsrsasign');
var jsrsasignUtil=require('jsrsasign-util');

// 讀取加密的私鑰文件
var pem=jsrsasignUtil.readFile('z1.prv.p5e.pem');
var prvKey=jsrsasign.KEYUTIL.getKey(pem, 'passwd');

// 使用私鑰對字符串 'aaa' 進行簽名
var sig=new jsrsasign.Signature({ alg: 'SHA1withRSA' });
sig.init(prvKey);
sig.updateString('aaa');
var sigVal=sig.sign();

console.log('Signature:', sigVal);

jsrsasign 提供了強大且靈活的密碼學功能，助力開發人員在應用程序中實現數據的安全性和認證。其多功能性、易用性以及長期維護的特點，使其成為保護敏感信息和預防安全威脅的強有力工具。通過了解和掌握這個庫，開發人員可以在應對各種安全挑戰時信心倍增。

https://github.com/kjur/jsrsasign

5. QS

這個庫將幫助您在 JavaScript 中解析和序列化查詢字符串。它通過正確處理查詢參數并避免常見的解析漏洞，有助于防止HTTP參數污染（HPP）攻擊。在GitHub上已獲得超過7.5k顆星。以下是 qs 庫的用法和相關的代碼示例：

首先，在您的項目中安裝 qs 庫，可以使用以下命令：

npm install qs

在您的 JavaScript 代碼中，您可以導入 qs 并開始使用它來解析和序列化查詢字符串：

const qs=require('qs');

// 解析查詢字符串
const queryString='name=John&age=30&city=New%20York';
const parsed=qs.parse(queryString);

console.log('Parsed Query:', parsed);

// 將對象序列化為查詢字符串
const obj={
  name: 'Alice',
  age: 25,
  city: 'Los Angeles'
};

const serialized=qs.stringify(obj);

console.log('Serialized Query:', serialized);

在這個示例中，我們首先使用 qs.parse() 來解析查詢字符串，將其轉換為對象。然后，我們使用 qs.stringify() 將一個對象序列化為查詢字符串。

qs 還提供了其他一些選項和功能，例如嵌套對象的處理、數組的處理、日期格式化等。您可以查閱 qs 庫的文檔以獲取更多詳細信息和用法示例：https://github.com/ljharb/qs

總的來說，qs 是一個非常方便的庫，可以幫助您在 JavaScript 中處理查詢字符串，以及在 URL 中進行參數的解析和序列化。無論是在客戶端還是服務器端的應用程序中，qs 都能提供便捷的查詢字符串處理功能。

https://github.com/ljharb/qs

6. Express rate limit

這是 Express.js 應用程序中的一個重要中間件。它通過在 API 端點上設置請求速率限制，有助于減輕拒絕服務（DoS）和暴力破解攻擊。在 GitHub 上已獲得超過 2.5k 顆星。以下是 node-rate-limiter-flexible 庫的用法和相關的代碼示例：

1. 首先，在您的項目中安裝 node-rate-limiter-flexible 庫，可以使用以下命令：

npm i --save rate-limiter-flexible

2. 在您的 Node.js 應用程序中，導入 node-rate-limiter-flexible 并使用它來設置請求速率限制：

const { RateLimiterMemory }=require('rate-limiter-flexible');

// 創建一個請求速率限制器
const rateLimiter=new RateLimiterMemory({
  points: 5, // 每秒允許的請求次數
  duration: 1 // 以秒為單位的時間窗口
});

// 在 Express.js 應用程序中使用請求速率限制器中間件
app.use((req, res, next)=> {
  rateLimiter.consume(req.ip) // 使用客戶端 IP 地址進行限制
    .then(()=> {
      next();
    })
    .catch((err)=> {
      res.status(429).send('Too Many Requests');
    });
});

// ...其他中間件和路由的設置...

// 啟動服務器
const port=process.env.PORT || 3000;
app.listen(port, ()=> {
  console.log(`Server is running on port ${port}`);
});

在這個示例中，我們使用 RateLimiterMemory 創建了一個請求速率限制器。通過設置 points 和 duration 參數，我們可以定義每秒允許的請求次數和時間窗口。然后，我們在 Express.js 應用程序中使用中間件來應用請求速率限制器，使用客戶端的 IP 地址來進行限制。如果客戶端超過限制，它將收到一個 429 Too Many Requests 響應。

node-rate-limiter-flexible 還提供了其他的限制策略、存儲適配器和配置選項，您可以根據需求進行調整。詳細的文檔可以在庫的 GitHub 頁面中找到：https://github.com/animir/node-rate-limiter-flexible

總的來說，node-rate-limiter-flexible 是一個非常有用的庫，可以幫助您在 Node.js 應用程序中實現靈活的請求速率限制，從而提高應用程序的安全性和穩定性。

https://github.com/animir/node-rate-limiter-flexible

7. jsSHA

這是一個功能強大的 TypeScript/JavaScript 庫，用于使用多種密碼學算法對數據進行哈希處理。它允許您為敏感數據生成安全的哈希，確保數據的完整性和真實性。在 GitHub 上獲得了超過2k顆星。以下是 jsSHA 庫的用法和相關的代碼示例：

1. 首先，在您的項目中安裝 jsSHA 庫，可以使用以下命令：

npm install jssha

2. 在您的 JavaScript 代碼中，您可以導入 jsSHA 并使用它來進行數據哈希：

javascriptCopy codeconst jsSHA=require('jssha');

// 創建一個 SHA-256 哈希對象
const shaObj=new jsSHA('SHA-256', 'TEXT');

// 要哈希的數據
const data='Hello, world!';

// 更新哈希對象的輸入
shaObj.update(data);

// 獲取最終的哈希值（十六進制表示）
const hash=shaObj.getHash('HEX');

console.log('Hash:', hash);

在這個示例中，我們首先創建了一個 SHA-256 哈希對象，然后使用 update() 方法更新輸入數據，最后使用 getHash() 方法獲取最終的哈希值。

jsSHA 支持多種加密算法，您可以在創建哈希對象時指定所需的算法，例如 'SHA-1'、'SHA-256'、'SHA-512' 等。

請注意，jsSHA 還提供了許多其他選項和功能，如 HMAC 計算、處理二進制數據等。您可以查閱 jsSHA 庫的文檔以獲取更多詳細信息和用法示例：https://caligatio.github.io/jsSHA/

總的來說，jsSHA 是一個方便的庫，可用于在瀏覽器和 Node.js 中生成安全的數據哈希，以確保數據的完整性和認證。

https://github.com/Caligatio/jsSHA

結束

當今數字時代，安全性在應用程序開發中變得愈發重要。為了確保用戶數據的保密性、完整性和可靠性，開發人員需要采取各種措施來應對安全挑戰。在本文中，我們介紹了七個與安全相關的 JavaScript 庫，它們為開發人員提供了強大的工具來保護應用程序免受各種潛在的安全威脅。

在您的開發旅程中，這些庫將充當強大的盾牌，保護您的應用免受惡意行為的侵害。同時，隨著技術的不斷進步，我們也鼓勵您保持警惕，時刻關注最新的安全標準和最佳實踐，以確保您的應用程序始終處于安全的狀態。如果您還有其他優秀的 JavaScript 庫推薦，歡迎在評論中與我們分享。

由于文章內容篇幅有限，今天的內容就分享到這里，文章結尾，我想提醒您，文章的創作不易，如果您喜歡我的分享，請別忘了點贊和轉發，讓更多有需要的人看到。同時，如果您想獲取更多前端技術的知識，歡迎關注我，您的支持將是我分享最大的動力。我會持續輸出更多內容，敬請期待。