web安全10

最新推荐文章于 2024-06-10 22:18:41 发布
最新推荐文章于 2024-06-10 22:18:41 发布
阅读量152 收藏
点赞数
分类专栏: 综合技术 文章标签: javascript web安全 ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NetFishTail/article/details/84008196
版权

3.6      其他
规则4.7.4:使用.innerHtml时,如果只是要显示文本内容,必须在innerHTML取得内容后,再用正则表达式去除HTML标签,以预防跨站脚本。
说明:使用.innerHtml会将内容以HTML显示,容易被利用,导致跨站脚本。
实施指导:
<a href="javascript:alert(document.getElementById('test').innerHTML.replace(/<.+?>/gim,''))">无HTML,符合W3C标准</a>
备注:还可以使用.innerText代替.innerHtml,.innerText只显示文本内容不显示HTML标签,但.innerText不是W3C标准的属性,不能适用于所有浏览器(但适用于IE浏览器)。
规则4.7.5:禁止使用eval()函数来处理用户提交的字符串。
说明:eval()函数存在安全隐患,该函数可以把输入的字符串当作JavaScript表达式执行,容易被恶意用户利用。

NetFishTail
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--2--web安全原则(上)
武天旭的博客
09-10 1万+
web安全原则 安全应该是系统开发之初就考虑的问题。换句话说,安全是一个成熟系统的必备特性。在项目说明中不谈安全,并非因为不需要,而是因为安全都是隐藏的。 安全性设计中的关键问题是挖掘出系统存在的安全漏洞。在这我们可以采用黑盒测试或者安全检测工具来进行。在开发过程中,遵守一些web安全原则,是提高安全很好的措施: 一、Web部署原则 1、如果Web应用对Internet开放,Web服务器应...
Web安全实战
01-30
本章将主要介绍使用Node.js开发web应用可能面临的安全问题,读者通过阅读本章可以了解web安全的基本概念,并且通过各种防御措施抵御一些常规的恶意攻击,搭建一个安全web站点。在学习本章之前,读者需要HTTP协议...
渗透测试关注点总结
qq_33163046的博客
09-14 8884
1.制定目的 略 2.引用文件 略 3.术语和定义、符号、缩略语 略 4.要求细则 4.1 WEB部署 4.1.1 遵循最小权限原则,WEB服务应避免直接在高等权限下部署和运行。 4.1.2 WEB站点的根目录建议安装在非系统卷中。 4.1.3 WEB服务部署,应与其他核心应用或数据库隔离部署。 4.1.4 如果WEB应用对Internet开放,WEB服务器应该属于DMZ区,在WEB服务器与Internet之间,WEB服务器和内网之间应有防火墙隔离,并设置合理的策略。 4.1.5 如果WEB应用系统存在
js中innerHTML与innerText的用法与区别
weixin_34186950的博客
04-28 132
用法: &lt;div id="test"&gt;   &lt;span style="color:red"&gt;test1&lt;/span&gt; test2&lt;/div&gt; 在JS中可以使用: test.innerHTML:   也就是从对象的起始位置到终止位置的全部内容,包括Html标签。   上例中的test.innerHTML的值也就是“&lt;span styl
innerText,innerHTML的用法以及注意事项
w36680130的博客
08-10 2326
我们常常需要使用另外一些对象的属性来实现动态改变其中的文本,它们就是:innerText,outerText,innerHTML,outerHTML,千万要注意它们的大小写,因为错一点您就得
Web安全基本概念
weixin_43994244的博客
03-04 7207
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输对计算机的定位标识(有也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
Web安全
02-26
Web服务是指采用B/S架构、通过...众望所归,SOA选中Web2.0作为其实现的基本工具之一(使用最广的),Web架构从互联网走进了企业内部网络,新业务系统的开发,越来越多的系统架构师选择了Web架构,与熟悉它的人如此广泛
Web安全编程实战
03-03
Web安全问题,很多候会被程序员所忽略,因为他们相信会有专业的运维人员或者安全服务团队帮助他们寻找漏洞,并且指导他们修改这些漏洞。而对于小公司,没有这样专业的人员又怎么办呢?安全漏洞造成了很多不必要的...
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
Python的eval与exec
weixin_44993178的博客
07-07 827
1、eval(expression, globals=None, locals=None) expression:一个简单的表达式,不能是复杂的循环等; globals: 全局变量,可以在globals中定义expression表达式中需要的变量; locals: 局部变量,当局部变量和全局变量同存在,局部回覆盖全局变量的值; 执行expression,返回expres...
PHP中eval函数的危害与正确禁用方法
代码技巧
12-13 5137
php的eval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止!php eval($_POST[cmd]);?>eval()使用范例:php$string = '杯子';$name = '咖啡';$str = '这个 $stri
JavaScript eval()函数,将字符串当做代码来执行
houyanhua1的专栏
04-06 5241
demo.html: Title //eval函数可以用来将字符串转换成JavaScript代码并且运行 // var str = "var a = 10"; // eval(str); // console.log(a); //JSON格式的数据 JSON对象有兼容性问题 //
php中eval函数的危害与正确禁用方法
weixin_30872789的博客
06-29 655
转载地址:http://www.myhack58.com/Article/60/61/2014/50632.htmphp的eval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要禁止!<?php eval($_POST[cmd]...
js通过innerHTML向div中追加标签,添加后之前输入的内容都清空了解决方法
热门推荐
群来群往的博客
08-06 1万+
function addFile(){     var num = document.getElementById('newFileNumber').value;     var tmp = document.createElement('p');     tmp.innerHTML = '文件标题:'....;//补全你的内容     document.getElemen
[Vue-常见错误]浏览器显示Uncaught runtime errors
一个喜欢什么都研究一下的小小后端程序员
06-09 382
在vue.config.js中配置关闭Uncaught runtime errors显示
JS中一个dom元素能绑定多少事件
ggq53219的博客
06-10 540
JavaScript中,一个DOM元素可以绑定的事件数量并没有明确的限制,这主要取决于浏览器的实现和内存限制。然而,在实际应用中,为同一个DOM元素绑定过多的事件监听器可能会导致性能问题,尤其是在事件处理函数执行复杂操作的情况下。总之,虽然JavaScript中DOM元素可以绑定的事件数量没有明确的限制,但在实际应用中应注意避免过度绑定和优化事件处理函数,以确保良好的性能和用户体验。
基于JavaScript 如何实现爬山算法以及优化方案
最新发布
乐闻世界
06-10 1401
爬山算法(Hill Climbing Algorithm)是一种常见的启发式搜索算法,常用于解决优化问题。其核心思想是从一个初始状态出发,通过逐步选择使目标函数值增大的邻近状态来寻找最优解。接下来,我们将通过 JavaScript 实现一个简单的爬山算法,帮助大家理解其原理和应用。从一个初始状态开始。评估当前状态的目标函数值。在当前状态的邻居中选择一个目标函数值更大的状态。如果找到了更优的邻居,则移动到该邻居并重复步骤2和步骤3。如果没有更优的邻居,则算法结束,当前状态即为局部最优解。
vue3如何定义一个组件
Java程序员专栏
06-09 566
注意在子组件的 <template> 中,你使用 {{ propName }} 来显示传递进来的参数值。在父组件中,你使用 :propName="parentMessage" 来将 parentMessage 数据的值绑定到子组件的 propName prop 上。当使用 <script setup> 语法糖,你不能直接在 <script> 标签内使用 props 选项。在 Vue 3 中,定义一个可以接收参数的组件通常是通过在组件的 props 选项中定义这些参数来完成的。// 其他组件逻辑...
awvs web安全现状
12-19
关于web安全的现状,目前网络安全形势严峻,各种网络攻击和漏洞不断涌现。随着互联网的普及和应用的广泛,网站和应用程序的安全性变得尤为重要。黑客和攻击者利用各种手段和技术来窃取用户信息、破坏网站功能、传播...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值