1. 准备项目文件#

• 创建目录结构：

  1
  project/
  2
  ├─ src/
  3
  │  ├─ js/
  4
  │  │  ├─ sum.js
  5
  │  │  └─ count.js
  6
  │  └─ main.js  // 入口文件
  7
  └─ index.html
  

• 编写模块代码： sum.js

  1
  export default function sum(x, y) {
  2
      return x + y;
  3
  }
  

  count.js

  1
  export default function count(x, y) {
  2
      return x - y;
  3
  }
  

  main.js（入口文件，导入其他模块）

  1
  import sum from "./js/sum";
  2
  import count from "./js/count";
  3
  
  4
  console.log("1 + 2 =", sum(1, 2)); // 输出3
  5
  console.log("1 - 2 =", count(1, 2)); // 输出-1
  

2. 安装WebPack#

1
# 全局安装WebPack和命令行工具
2
npm install webpack webpack-cli -g

3. 创建配置文件#

在项目根目录创建webpack.config.js（文件名固定）：

1
const path = require('path');
2

3
module.exports = {
4
    entry: './src/main.js', // 入口文件
5
    output: {
6
        path: path.resolve(__dirname, 'dist'), // 输出目录
7
        filename: 'bundle.js', // 输出文件名
8
        clean: true // 每次打包前清空dist目录
9
    },
10
    mode: "development" // 开发模式（可选production）
11
};

4. 执行打包命令#

1
npx webpack

打包成功后，会在dist目录生成bundle.js。

5. 引用打包文件#

修改index.html，引用打包后的bundle.js：

1
<!DOCTYPE html>
2
<html lang="en">
3
<head>
4
    <meta charset="UTF-8">
5
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
6
    <title>WebPack Demo</title>
7
</head>
8
<body>
9
    <script src="./dist/bundle.js"></script>
10
</body>
11
</html>

在浏览器中打开index.html，控制台会输出计算结果。

1. 源码泄露风险#

• 风险场景：development模式下，WebPack会生成源码映射（source map），攻击者可通过映射文件还原原始代码，获取敏感信息（如API密钥、逻辑漏洞）。
• 防护措施：生产环境强制使用production模式，禁用源码映射：

  1
  module.exports = {
  2
      mode: "production",
  3
      devtool: false // 禁用source map
  4
  };
  

2. 第三方依赖风险#

• 风险场景：项目依赖的第三方库可能存在漏洞（如XSS、代码执行），被打包后引入项目。
• 防护措施：
  • 使用npm audit检测依赖漏洞。
  • 定期更新依赖至安全版本。
  • 采用webpack-bundle-analyzer分析打包内容，移除冗余依赖。

3. 自动化安全检测工具#

模糊提取安全检查

• Packer Fuzzer：一款针对WebPack等打包器的安全工具，可自动提取API及参数，检测未授权访问、SQL注入等漏洞。
  • 项目地址：https://github.com/rtcatc/Packer-Fuzzer
  • 功能：支持生成HTML、PDF等格式的扫描报告，简化漏洞分析流程。

1. 引入JQuery#

• CDN引入（推荐，减少服务器压力）：

  1
  <script src="https://code.jquery.com/jquery-3.6.0.min.js"></script>
  

• 本地引入：下载JQuery文件（官网：https://jquery.com/，其他：https://www.jq22.com/jquery-info122 https://www.w3ccoo.com/jquery/jquery_download.html）放入项目目录后引用：

  1
  <script src="./jquery-3.6.0.min.js"></script>
  

2. 基础使用示例#

1
<!DOCTYPE html>
2
<html lang="en">
3
<head>
4
    <meta charset="UTF-8">
5
    <title>JQuery Demo</title>
6
    <script src="https://code.jquery.com/jquery-3.6.0.min.js"></script>
7
</head>
8
<body>
9
    <div id="demo">Hello</div>
10
    <script>
11
        // 选取元素并修改内容
12
        $("#demo").text("Hello JQuery");
13
        // 绑定点击事件
14
        $("#demo").click(function() {
15
            alert("Clicked!");
16
        });
17
    </script>
18
</body>
19
</html>

1. XSS漏洞（CVE-2020-11022/CVE-2020-11023）#

• 风险场景：JQuery 3.5.0及以下版本中，$(html)等方法在解析HTML时存在漏洞，攻击者可注入恶意代码。例如：

  1
  // 漏洞版本中，以下代码会执行恶意脚本
  2
  $("<img src=x onerror=alert('XSS')>");
  

• 防护措施：
  • 升级至JQuery 3.5.1及以上版本（修复了该漏洞）。
  • 避免使用$(html)直接解析不可信内容，改用text()方法。

2. 版本检测与漏洞扫描#

• 在线检测工具：http://research.insecurelabs.org/jquery/test/（输入JQuery版本，检测已知漏洞）。
• 依赖管理：使用npm管理JQuery时，通过npm audit检查版本安全性。
• **参考：**https://blog.csdn.net/weixin_44309905/article/details/120902867

3. 其他安全实践#

• 避免在JQuery中硬编码敏感信息（如API密钥）。
• 对用户输入进行严格过滤，尤其是在使用append()、html()等方法时。