安全漏洞检测需重点审查输入验证、CSRF防护、DOM操作及第三方依赖。1. 确保用户输入经校验和转义，避免innerHTML，优先用textContent或HTML编码；2. 敏感操作使用POST等非GET方法，设置X-CSRF-Token头，不硬编码密钥；3. 避免eval(location.hash)，校验跳转目标，使用React Router等安全路由库；4. 用npm audit或Snyk扫描依赖，验证第三方脚本来源与完整性。结合代码走查与ESLint安全插件，坚持不信任外部输入原则，可显著提升JavaScript应用安全性。

JavaScript代码审查中，安全漏洞检测是确保应用健壮性和用户数据安全的关键环节。许多常见的漏洞源于对输入处理不当、错误的权限控制或不安全的API使用。以下是几个重点审查方向及对应建议。

1. 输入验证与输出编码

未经验证的用户输入是XSS（跨站脚本）攻击的主要入口。审查代码时需确认所有来自用户、URL参数、表单或API响应的数据是否经过校验和转义。

• 检查是否使用innerHTML、document.write等直接插入HTML的方法，应优先使用textContent或对动态内容进行HTML实体编码
• 在模板引擎中启用自动转义功能，如Handlebars或DOMPurify清理富文本
• 对URL中的查询参数使用decodeURIComponent前先验证格式，防止恶意payload注入

2. 防止CSRF与不安全的API调用

前端虽无法完全防御CSRF，但可通过模式设计减少风险。同时注意API请求的安全性。

• 确认敏感操作（如删除、修改）是否仅通过POST/PUT/DELETE发起，而非GET
• 检查是否在请求头中设置防CSRF令牌（如X-CSRF-Token），并与后端机制匹配
• 避免在JavaScript中硬编码API密钥或敏感凭证
• 使用fetch或XMLHttpRequest时，确认credentials: 'include'仅用于可信域

3. DOM-Based XSS与不安全的路由处理

单页应用（SPA）常因直接操作DOM或处理location.hash引发漏洞。

• 避免使用eval(location.hash.slice(1))或类似动态执行语句
• 对window.location的跳转目标进行白名单校验，防止开放重定向
• 使用现代路由库（如React Router）代替手动解析hash或search

4. 第三方依赖与库版本管理

大量项目依赖npm包，过时或存在漏洞的库会引入风险。

• 运行npm audit或使用snyk扫描依赖树
• 审查引入的第三方脚本（如CDN链接）是否来自可信源，是否完整性和SRI校验
• 移除未使用或已废弃的包，降低攻击面

基本上就这些。定期进行代码走查，结合自动化工具（如ESLint插件eslint-plugin-security），能显著提升JavaScript项目的安全性。关键是保持警惕，不信任任何外部输入，也不盲目引入外部代码。