在React Router v6中,路由跳转安全是开发者必须关注的核心问题。v6版本移除了<Switch>组件,采用新的useRoutes API和更严格的路由匹配机制,这带来了全新的安全考量。
路由跳转安全风险
在v6中,如果未正确配置路由,可能导致路径劫持或意外的路由匹配。例如:
// 危险的路由配置
<Route path="/user/:id" element={<UserProfile />} />
<Route path="/user" element={<UserList />} />
上述配置中,访问/user/123会匹配第一个路由,但若路径不明确,可能导致安全漏洞。
安全实践方案
1. 明确的路径匹配
// 使用严格匹配
<Route path="/user/:id" element={<UserProfile />} />
<Route path="/user/" element={<UserList />} />
2. 路由守卫实现
const ProtectedRoute = () => {
const isAuthenticated = useAuth();
return isAuthenticated ? <Outlet /> : <Navigate to="/login" />;
};
<Routes>
<Route element={<ProtectedRoute />}>
<Route path="/dashboard" element={<Dashboard />} />
</Route>
</Routes>
3. 路径参数验证
const UserProfile = () => {
const { id } = useParams();
if (!id || isNaN(id)) {
return <Navigate to="/404" />;
}
return <UserProfileComponent userId={id} />;
};
可复现步骤
- 创建一个路由配置,包含嵌套路由和参数路径
- 不使用
<Outlet>或useNavigate进行安全检查 - 测试非法参数访问,观察是否能绕过安全验证
通过以上实践,可以有效防止v6版本中的路由跳转安全问题。
讨论