浅谈html转义及防止javascript注入攻击

最新推荐文章于 2024-05-15 21:52:46 发布
最新推荐文章于 2024-05-15 21:52:46 发布
阅读量3.7w 收藏 21
点赞数 7
分类专栏: Html Javascript 文章标签: html javascript 注入式攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taoerchun/article/details/50778799
版权


有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:<script>alert('test');</script>,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。


一:什么是html转义?


html转义是将特殊字符或html标签转换为与之对应的字符。如:< 会转义为 &lt;> 或转义为 &gt;像“<script>alert('test');</script>”这段字符会转义为:“&lt;script&gt;alert('test');&lt;/script&gt;”再显示时页面会将&lt;解析为<,&gt;解析为>,从而还原了用户的真实输入,最终显示在页面上 的还是“<script>alert('test');</script>”,即避免了js注入攻击又真实的显示了用户输入。


二:如何转义?


1、通过js实现

//转义  元素的innerHTML内容即为转义后的字符
function htmlEncode ( str ) {
  var ele = document.createElement('span');
  ele.appendChild( document.createTextNode( str ) );
  return ele.innerHTML;
}
//解析 
function htmlDecode ( str ) {
  var ele = document.createElement('span');
  ele.innerHTML = str;
  return ele.textContent;
}

2、通过jquery实现

function htmlEncodeJQ ( str ) {
    return $('<span/>').text( str ).html();
}

function htmlDecodeJQ ( str ) {
    return $('<span/>').html( str ).text();
}


3、使用

var msg=htmlEncodeJQ('<script>alert('test');</script>');

$('body').append(msg);


建议使用jquery实现,因为有更好的兼容性


peachesTao
关注
  • 7
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
html避免js脚本注入,chrome浏览器拓展——js脚本拦截及注入
weixin_28972687的博客
06-25 2393
概要该浏览器拓展插件是拥有为页面拦截和注入js功能的chrome浏览器扩展,可以拦截页面脚本、检索页面脚本文件、下载页面脚本文件、为页面注入js文件,以及为页面注入requirejs和requirejs入口文件。安装方式拓展为开发版本,尚未打包发布,安装时需要将项目文件更新到本地,具体如下:1,更新项目到本地目录,如:/users/js_inject2,在chrome浏览器中打开 chrome:/...
基于jQuery的SQL注入攻击防范实现
12-29
现今实现防止SQL 注入攻击主要是在服务器端实现, 实现的方法主要有基于正则表达式的输入验证、敏感字符的 改写、部分数据加密。上述方法的缺点主要体现在以下的几个方面, 其一, 服务端处理数据使系统资源被过分占用, 容易 造成服务器端拒绝服务; 其二, 编写动态网页的脚本语言多样化, 每种脚本对应一种防止SQL注入方法, 使程序不具有可 读性、标准性。文中着力解决基于服务器端处理SQL 注入攻击的缺陷, 故探寻了一种在客服端实现的基于jQuery 防止 SQL 注入攻击的方法, 其目的是使攻击在客服端就被拦截, 同时利用jQuery开放性的特点使w eb程序更具有可移植性。
【微服务最全详解】
最新发布
weixin_47068446的博客
05-15 1069
微服务是一种软件架构风格,其中软件系统被构建为一组小型、独立的服务单元,这些服务单元通过轻量级的通信机制相互协作。每个微服务都专注于单一的业务功能,并且可以独立部署、升级和扩展。微服务架构的核心理念是将复杂的单块应用拆分为更小、更易管理的部分,从而提高系统的灵活性、可维护性和可扩展性。微服务架构通常具有以下特点:模块化设计: 系统被分解为多个独立的服务单元,每个服务单元都拥有自己的数据存储、业务逻辑和用户界面。自治性: 每个微服务都是自治的,即它们可以独立开发、部署和运行,不依赖于其他服务。
小解html转义防止javascript注入攻击
qq_43288882的博客
09-27 178
萌新在练习留言板时发现在输入框中写一段js脚本,例如,不但有效的避免了javascript注入攻击,又反映出用户的真实输出。 我们可以利用jquery来解决 /*对html标签进行转义*/ function htmlEncode ( str ) { //str为输入值 return $('&amp;amp;lt;span/&amp;amp;gt;').text( str ).html(); } /*对html标签进...
html转义字符
dawuafang
12-12 125
偶尔会在数据中看到诸如&amp;#39;这样的字符,特征如下 以&amp;#开头,中间是一串数字,以;结尾 以&amp;开头,中间一串字符,以;结尾 比如最常见的&amp;nbsp;或者等价的&amp;#160; 浏览器遇到这些转义符,会转义回来,但如何通过代码识别?org.apache.commons.lang.StringEscapeUtils.unescapeHtml提供...
html转义
爱码喵的博客
09-20 280
如图
html转义防止javascript注入攻击的方法
10-20
HTML转义防止JavaScript注入攻击是网络安全中的重要概念,尤其是在Web开发中。本文将详细讲解这两个主题,以帮助开发者理解它们的重要性并采取必要的防护措施。 **HTML转义** HTML转义是一种将特殊字符转换为...
html转义防止javascript注入攻击的方法.docx
11-24
html转义防止javascript注入攻击的方法.docx
转义html 内容 防止脚本攻击.txt
01-15
在移动端有用户输入的地方,为了有效防止不是脚本语言,必须对输入内容进行替换。
JavaScript中对HTML进行反转义详解
11-22
需要注意的是,虽然这种方法能够反转义HTML,但也要注意安全性。如果服务器端返回的数据不受信任,可能会引入XSS(跨站脚本攻击)风险。因此,在实际开发中,应结合其他安全措施,如使用服务器端的模板引擎进行转义...
jquery过滤特殊字符’,防sql注入的实现方法
11-22
今天写的代码给项目经理看了下,因为之前没有考虑sql注入的问题,然后在他测试我的code的时候,打了一个“’”,然后我的程序就挂了! 于是乎,我在网上找到了一个验证并过滤文本框的jquery! 先上图: PS:这里用@#测试,因为’太小了,都看不清楚了! 具体的jquery代码: [removed] $(document).ready(function() { //返回 $("#btnBack").click(function() { location.href = "${basePat
YII2.0 中防止JS脚本注入
reg183的专栏
06-12 2630
$hello中的js代码不会执行,会原样输出 Html::encode($hello); $hello中的js代码不会执行,不会输出 \yii\helpers\HtmlPurifier::process($hello); 来自于datou:https://github.com/datou-leo/ci ...
HTML标签转义
夏末安的博客
11-08 634
< < 小於号或显示标记 > > 大於号或显示标记 & & 可用於显示其它特殊字符 " ” 引号 ® ® 己注册 © © 版权 ™ ™ 商标   半方大的空白   全方大的空白   不断行的空白
jquery过滤特殊字符',防sql注入
mituan1234567的专栏
06-18 855
http://blog.csdn.net/xb12369/article/details/8446248 今天写的代码给项目经理看了下,因为之前没有考虑sql注入的问题,然后在他测试我的code的时候,打了一个“'”,然后我的程序就挂了! 于是乎,我在网上找到了一个验证并过滤文本框的jquery! 先上图: PS:这里用@#测试,因为'太小了,都
屏蔽HTML中的script代码段
weixin_33704234的博客
06-22 302
参考文章: 1)匹配嵌套的构造(较复杂) 2)解读C#正则表达式 3)[正则表达式] 可以解析HTML/XHTML页面的所有元素和结构的Regular Expression! class Class1 { string tag = @"(?:[\w-:]+)"; string attribute = @"(?:[\w-:]+)(?:(\s)*=(\s)*(?:[^\s...
HTML标签转义问题
周壹的专栏
06-12 1059
Spring框架 org.springframework.web.util.HtmlUtils 可以实现HTML标签及转义字符之间的转换。  Java代码   /** HTML转义 **/   String s = HtmlUtils.htmlEscape("hello world ");   System.out.println(s);   Stri
如何防止js注入攻击和SQL注入攻击
06-07
防止JS注入攻击: 1. 过滤用户输入:在前端和后端都要对用户输入的数据进行过滤,特别是一些特殊字符,如`<`、`>`、`&`等。可以使用正则表达式来过滤这些特殊字符。 2. 对特殊字符进行转义:在前端输出用户输入数据时,对一些特殊字符进行转义,如`<`转义成`<`,`>`转义成`>`,`&`转义成`&`等。 3. 使用CSP(Content Security Policy):CSP是一种Web安全政策,可以限制浏览器加载和执行外部脚本的能力,从而防止一些JS注入攻击防止SQL注入攻击: 1. 使用参数化查询:在后端处理用户输入时,使用参数化查询来执行SQL语句,防止用户输入的数据被当做SQL语句的一部分执行。 2. 避免拼接SQL语句:在后端处理用户输入时,避免将用户输入的数据直接拼接到SQL语句中,特别是一些特殊字符,如`'`等。 3. 过滤用户输入:在前端和后端都要对用户输入的数据进行过滤,特别是一些特殊字符,如`'`、`"`等。可以使用正则表达式来过滤这些特殊字符。 4. 使用ORM框架:ORM框架可以自动对用户输入的数据进行参数化查询,并且可以防止一些SQL注入攻击。常见的ORM框架有Entity Framework、Dapper等。 总之,防止JS注入攻击和SQL注入攻击的最好方法就是对用户输入的数据进行过滤和转义,避免直接将用户输入的数据拼接到JS代码和SQL语句中,特别是一些特殊字符。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值