html转义及防止javascript注入攻击

最新推荐文章于 2023-05-03 23:59:14 发布
最新推荐文章于 2023-05-03 23:59:14 发布
阅读量697 收藏 1
点赞数
分类专栏: 前端知识 文章标签: html js jq 脚本

有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:<script>alert('test');</script>,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。


一:什么是html转义?


html转义是将特殊字符或html标签转换为与之对应的字符。如:< 会转义为 &lt;> 或转义为 &gt;像“<script>alert('test');</script>”这段字符会转义为:“&lt;script&gt;alert('test');&lt;/script&gt;”再显示时页面会将&lt;解析为<,&gt;解析为>,从而还原了用户的真实输入,最终显示在页面上 的还是“<script>alert('test');</script>”,即避免了js注入攻击又真实的显示了用户输入。


二:如何转义?


1、通过js实现

//转义  元素的innerHTML内容即为转义后的字符
function htmlEncode ( str ) {
  var ele = document.createElement('span');
  ele.appendChild( document.createTextNode( str ) );
  return ele.innerHTML;
}
//解析 
function htmlDecode ( str ) {
  var ele = document.createElement('span');
  ele.innerHTML = str;
  return ele.textContent;
}

2、通过jQuery实现

function htmlEncodeJQ ( str ) {  
    return $('<span/>').text( str ).html();  
}  
  
function htmlDecodeJQ ( str ) {  
    return $('<span/>').html( str ).text();  
}

3、使用

var msg=htmlEncodeJQ('<script>alert('test');</script>');

$('body').append(msg);


建议使用jquery实现,因为有更好的兼容性




Swen程序员
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于前端js攻击类型和解决方法
weixin_43288237的博客
09-27 4285
有的时候页面中会有一个输入框,如果用户输入了一段js脚本 例: 页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?接下来我们将要介绍一下都有哪几种攻击方法和解决方案: XSS 【Cross Site Script】跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中We...
浅谈html转义防止javascript注入攻击
热门推荐
taoerchun的专栏
03-02 3万+
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。 一:什么是html转义html转义是将特殊字符或html
小解html转义防止javascript注入攻击
qq_43288882的博客
09-27 176
萌新在练习留言板时发现在输入框中写一段js脚本,例如,不但有效的避免了javascript注入攻击,又反映出用户的真实输出。 我们可以利用jquery来解决 /*对html标签进行转义*/ function htmlEncode ( str ) { //str为输入值 return $('&amp;amp;lt;span/&amp;amp;gt;').text( str ).html(); } /*对html标签进...
html转义处理实现完整教程【附代码】
2301_76418831的博客
05-03 1144
在Web开发中,为了防止XSS攻击等安全问题,经常需要对HTML标签进行转义处理,以确保用户输入的内容不会被当HTML标签执行。
浅谈html转义防止javascript注入攻击的方法
10-20
HTML转义防止JavaScript注入攻击是网络安全中的重要概念,尤其是在Web开发中。本文将详细讲解这两个主题,以帮助开发者理解它们的重要性并采取必要的防护措施。 **HTML转义** HTML转义是一种将特殊字符转换为...
浅谈html转义防止javascript注入攻击的方法.docx
11-24
浅谈html转义防止javascript注入攻击的方法.docx
jquery ajax对特殊字符进行转义防止js注入使用示例
10-26
本示例将介绍如何使用jQuery来转义特殊字符,从而防止JavaScript注入。 首先,了解JS注入的基本原理。当用户在留言或输入框中输入包含JavaScript代码的内容,如`<script>alert('message');</script>`,并在页面上...
详解Angular.js数据绑定时自动转义html标签及内容
10-20
然而,AngularJS的安全机制可能会过滤掉某些属性,如`style`,因为它可能导致CSS注入攻击。如果确实需要包含这些属性,你需要使用`$sce`(Strict Contextual Escaping)服务。`$sce`服务提供了在不安全内容中信任...
jstl 转义字符
学而不思则罔 思而不学则殆
07-24 4118
jstl fn:escapeXml()函数代码和用法 - 使用fn:escapeXml()函数转义字符,可以解释为XML标记。 使用fn:escapeXml()函数转义字符,可以解释为XML标记。 具体说明:http://www.yiibai.com/jstl/jstl_function_escapexml.html
屏蔽HTML中的script代码段
weixin_33704234的博客
06-22 301
参考文章: 1)匹配嵌套的构造(较复杂) 2)解读C#正则表达式 3)[正则表达式] 可以解析HTML/XHTML页面的所有元素和结构的Regular Expression! class Class1 { string tag = @"(?:[\w-:]+)"; string attribute = @"(?:[\w-:]+)(?:(\s)*=(\s)*(?:[^\s...
html转义web安全,最佳实践系列(三)-- PHP 安全三板斧:过滤、验证和转义过滤篇_html/css_WEB-ITnose...
weixin_28823431的博客
06-27 185
我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源: $_GET$_POST$_REQUEST$_COOKIE$argvphp://stdinphp://inputfile_get_contents()远程数据库远程API来自客户端的数据所有这些外部源都可能是攻击媒介,可能会(有意或无意)把恶意数据注入PHP脚本。编写接收用户输入然后渲染输出的P...
html标签配置过滤器,用过滤器让全站html标签转义输出
weixin_39847034的博客
06-07 211
package cn.lfd.web.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.s...
html转义字符怎么显示,为什么在HTML中显示转义字符?
weixin_33520510的博客
05-31 1403
我需要在显示网页上的内容之前转义一些文本,并且这实际上正在正确完成。但是,当我在html中显示字符串时,转义字符仍将显示。下面是这样一个例子:为什么在HTML中显示转义字符?hello there my ni&%ame is + - && !,并逃避相应的字符串如下:hello there my ni&%ame is + - && !我读的地方,在标...
前端安全: 如何防止 XSS 攻击?
学习真香
06-27 4064
前端安全: 如何防止 XSS 攻击? 分享简介 今天想分享给大家的是 如何防止 XSS 攻击. 为什么想分享的原因是: 感觉大家对前端安全了解不够, 重视不够. 内容是: 什么是 xss, 常见 xss 的类型. 并且通过小游戏来实践. 如何去防止 xss 攻击 如何利用 XSS 进行攻击 什么是 XSS 攻击 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本攻击者可获取用户的敏感信
html打印链接&times等字符会被转义成符号
qq_37170740的博客
03-21 1271
如有一个链接:url=www.abc.com?a=1&times=2 这个链接直接用a标签跳转是正常不会转义: <a href="'url">点击跳转</a> 但是先把链接echo出来,html就会把有些字符转义成符号&times转义×: www.abc.com?a=1×=2 ,&times被转义成× 解决方案: 1.把times字段放在第一个,链接就是www.abc.com?times=2&a=1 2...
html中的a标签用js来实现页面跳转的功能(php分页时的页面跳转)
gayayzy的专栏
03-02 8027
当php在分页时,有时候会要想个指定跳转到某页的功能,而要跳转到某页就要涉及到js。因为必须通过js来找到用户输入的是什么,是哪一页。 所以,如果你用的是一个图片来点击实现跳转的话,那么就可以通过在图片外面包裹一个a标签来实现点击并获取输入值。   现在问题是这样写: 那么浏览器中是不能实现跳转的呢。因为page()的js方法中不管你怎么写Windows.location.href="
html注入跨站攻击脚本,跨站脚本攻击(XSS)
weixin_39888180的博客
06-23 1841
跨站脚本攻击(XSS)是一种客户端代码注入攻击攻击者通过在合法的网页中注入恶意代码,达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码的网页时,攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到跨站脚本攻击的网页包括论坛、留言板以及可以评论的网页。如果网页将用户的原始输入作为网页内容,那么它很容易受到 XSS 攻击,因为这类用户输入一定会被受害者的浏览器解析。...
后端如何转义htmljs脚本防止xss攻击
qq_30503389的博客
04-19 670
具体来说,escapedString变量中包含了HTML转义字符编码,如"
html 参数 js注入攻击
最新发布
10-06
5. CSP(Content Security Policy):通过Content Security Policy,可以限制页面内可以执行的JavaScript代码的来源,有效地防止注入攻击。 总之,预防HTML参数JS注入攻击最重要的是保证用户输入的安全性,对输入进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值