Javascriptのセキュリティ対策 ざっくり

DomベースXSS

DOM ベース XSS 対策チートシート – OWASP
JavaScriptでセキュアなコーディングをするために気をつけること cybozu developer network

ざっくり

element.innerHTML」と「document.write」は危険。
代替可能であれば「element.textContent」を使う。
setAttribute」もエスケープ処理してからいれないと危険。

エスケープ処理

JavaScriptでHTMLエスケープ処理 – Qiita

jQuery

第7回 DOM-based XSS その2:JavaScriptセキュリティの基礎知識|gihyo.jp … 技術評論社

ざっくり

html()」や「append()」は危険。 代替可能であれば「text()」を使う。

localStorage

JWTを認証用トークンに使う時に調べたこと – Carpe Diem

ざっくり

xss対策が完璧でないと、localStorageは危険。

まとめ

https://github.com/teppeis/htmlspecialcharsのindex.jsにあるやつがエスケープ処理として使いやすい。
作ってくれた人に感謝。