前端防XSS攻击——模板字面量(模板字符串)之模板标签的应用

最新推荐文章于 2024-06-20 02:49:18 发布
最新推荐文章于 2024-06-20 02:49:18 发布
阅读量1.6k 收藏 1
点赞数 2
分类专栏: 前端 javascript 文章标签: es6 字符字面量 XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a695993410/article/details/80716864
版权

本篇先简单介绍模板字面量及标签模板,再引出其应用——防止XSS攻击


一.简介模板字面量(即模板字符串,MDN已更新为"模板字面量"的说法,此文以后都用“模板字面量”)


ES6中引入了模板字面量来代替传统JS的输出模板,直接看代码最清楚吧
模板字面量(看 es6.innerHTML段代码): 
<div id="es6"></div>
<script>
var es6 = document.querySelector('#es6');
var es6words = '我是es6的模板字面量!';

es6.innerHTML = `<p>
Hello!这里是es6!${es6words}我的写法很简洁
</p>`
</script>
显示如下:( 注意上面代码中前后为   ,而不是 ‘   ,我之前就因为打错了傻逼了5分钟)

传统js的输出模板(看 es5.innerHTML段代码): 
<div id="es5"></div>
<script>
var es5 = document.querySelector('#es5');
var es5words = '我是es5的传统输出模板!';

es5.innerHTML = '<p>Hi!这里是es5'
+ es5words +
'我的写法很麻烦</p>';
</script>
显示如下:


相比较之下,es6的模板字面量 更显简洁容易修改
es6变量嵌入的简易性使得打代码时不用再抓狂于传统js中麻烦的格式
但这只是模板字面量的优点之一
这里我们引出它的一个功能——”标签模板“功能及它的一个重要应用—— 过滤HTML字符串,防止用户输入恶意内容(防XSS攻击)(此应用学习于阮老师的《es6标准入门(第3版)》)


二.标签模板介绍及其使用

”标签模板“功能:模板字面量可以紧跟在一个函数名后面,函数会处理这个模板字面量
举个最简单的例子 
alert`111`;
相当于 
alert(111);
注意,”标签模板其实不是模板,而是函数调用的一种特殊形式。’标签‘指的就是函数,紧跟在后面的模板字面量就是它的参数

下面我们用代码说明一下问题,再依次解释各个形参 
var a = 'I am a';
var b = 'I am b';
function display(stringArr, value1, value2) {
console.log(stringArr);
console.log(value1);
console.log(value2);
}
接着使用字面量模板 

display`Hello! ${a} and ${b}`;

看看控制台:

各个变量意义:
stringArr:放置所有 不是变量替换的部分,即把字符串都放进去,且按各变量和头尾进行分割。如例子中,内容被分割为三部分”Hello!“,”and“以及最后空白的”“
value1:存放模板字面量中的第一个变量。如例子中,存放了变量a
value2:存放模板字面量中的第二个变量。如例子中,存放了变量b

当然,这种写法也可以使函数返回结果 

function display(stringArr, value1, value2) {
console.log(stringArr);
console.log(value1);
console.log(value2);
return "ok";
}
var result = display`Hello! ${a} and ${b}`;
console.log(result);
结果如下:




三.标签模板的应用——过滤HTML字符串,防止用户输入恶意内容 (XSS攻击)


先贴代码 

function SaferHTML(templateData) {
let s = templateData[0];
for(let i = 1 ; i < arguments.length ; i++){
let arg = String(arguments[i]);

s += arg.replace(/&/g,"&").replace(/</g,"<").replace(/>/g,">");
s += templateData[i];
}
return s;
}

var sender = '<script>alert(111)</script>';
var message = SaferHTML`<p>这里面可能有恶意代码,比如${sender}</p>`;

假如你是一个社交网站的用户,你发现发帖子时可以嵌入js脚本的漏洞,于是在内容里写入了一段恶意代码(比如 死循环致浏览器未响应或者 无限弹出广告),如果这篇帖子被发布并且吸引了很多人,后果可想而知。
如果我们对要上传至服务器的内容先进行过滤,则可能可以防止这种情况发生。










Jonithan_
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss注入万能模板
weixin_43553654的博客
02-28 622
简单弹窗:<script>alert(1)</script>反射cookie:<script>alert(document.cookie)</script>事件:onclick=alert(1)<img src=1 onerror=alert(1)跨站引用:<script scr="http://xxxxxx.com/xxx.php?xx...
2023高薪前端面试题(一、前端基础——HTTP/HTML/浏览器)
iaz999的博客
04-29 3192
语义就是构成HTML结构的标签要有意义。比如有这样的标签:header表示页面头部main表示页面主题footer表示页面底部那么这些标签构成的HTML结构就是有意义的,也是语义的。​ 如果说页面的头部、主体以及底部都用div来表示,那么他就不是一个语义的HTML结构了。
JavaScript - 模板字面量(Template Literals)的使用
09-19 829
目录 主要参考 模板字面量(Template Literals) 多行文本表示 内嵌表达式 模板嵌套 标签模板 主要参考 Template literals (Template strings) - JavaScript...
XSS跨站脚本攻击_反射型跨站脚本攻击需要过滤的字符
最新发布
2301_76224593的博客
06-20 1006
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号。
ES6-模板字符串标签模板-XSS攻击
爱代码的小海的博客
04-11 494
1. 模板字符串 保存字符串中的格式 使用变量/常量或者表达式/方法 2. 标签模板 函数调用的特殊形式 使用形式 过滤HTML字符串 XSS攻击 1. 模板字符串 ES6中引入的新的声明字符串的方式 xxxxx ES5声明字符串的方式 '' 和 "" 保存字符串中的格式 可以在内容中出现换行符 var str = ` <div>1</div> <div>2</div> <p>3</p&..
${}模板字面量标签函数
qq_36582776的博客
10-11 297
<script type="text/javascript"> let a=6; let b=9; function tag(arr,...placeholders){ console.log(arr); for(const hold of placeholders){ console.log(hold); } } tag`${a}+${b}=${a+b}`; //['.
JS-2-模板字面量&标签模板
hlht-kaka
05-03 807
模板字面量&标签模板 引入标签模板之前,对字符串的使用: var name = 'kaka'; var club = 'AC Milian'; var info = `name: ${name} club: ${club}`; 单纯的使用模板字面量,但是会有一些弊端: 不能自动转义特殊字符串 不能很好的和国际库配合(不会格式特定语言的数字,日期,文字等) 没有内建循环语法 参考...
前端学习总结(二十一)Vue.js——博采众长的后起之秀
浩时代的博客
08-18 4586
Vue概述实质:构建数据驱动的 web 界面的库目标:通过尽可能简单的 API 实现响应的数据绑定和组合的视图组件特点:只聚焦于视图层,简单易于学习,容易与其它库或已有项目整合。在与相关工具和支持库一起使用时,能完美地驱动复杂的单页应用。Vue和其他技术的对比VS Angular:1.比 Angular 简单得多,可以快速掌握2.更加灵活开放,允许以希望的方式组织应用程序,而不是任何时候都遵循 An
web前端面试题(必背面试题)
热门推荐
Z_Gleng的博客
05-25 3万+
自己总结的常见的面试题 总字数13万+ 大概有200+左右道题 会不定期更新
2022年最新前端面试题(大前端时代来临卷起来吧小伙子们..持续维护走到哪记到哪)
m0_55613022的博客
02-24 3156
HTML和Css部分 1、对BFC规范(块级格式上下文)的理解 BFC 块级格式上下文 一块独立的区域,有自己的规则,bfc中的元素与外界的元素互不影响 BFC是一块用来独立的布局环境,保护其中内部元素不受外部影响,也不影响外部。 怎么触发BFC 1. float的值left或right 2. overflow的值不为visible(默认) 3. display的值为inline-block、table-cell、table-caption 4. position的值为absolute(绝对定位)或f
标签模板字面量ES6小知识
THINK_OF_的博客
12-14 258
1.function foo (strings, ...values) { console.log(strings) console.log(values) } const des = 'description' 执行  foo `hello world ${des} !` 输出:["hello world ", " !", raw: Array(2)] ['description'...
010WXSS模板样式——rpx
qq_45448242的博客
09-13 116
WXSS模板样式——rpx
标记模板字面量_标记模板文字快速介绍
cumian8165的博客
08-05 476
标记模板字面量by Michael Ozoemena 迈克尔·奥索埃梅纳(Michael Ozoemena) In this article, I’m going to be talking about what “tagged template literals” are and some places where I’ve seen them being used. 在本文中,我将讨论什么是...
ES6新增系列一(模板字面量
weixin_42370640的博客
08-04 576
模板字面量基本语法多行字符串ES6 之前的权宜之计多行字符串的简单解决方法制造替换位标签模板使用模板字面量中的原始值总结 JS 的字符串相对其他语言来说功能总是有限的。为了让开发者能够解决复杂的问题, ES6模板字面量( template literal )提供了创建领域专用语言( domain-specific language , DSL )的语法,与 ES5 及更早版本的解决方案相比,处理内容可以更安全(领域专用语言是 被设计用于特定有限目的的编程语言,与通用目的语言如 JavaScript 相
JS跨站脚本攻击XSS
jack_shuai的博客
05-08 1046
XSS简介 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 Java后台解决办法 ...
javascript基础学习系列十七:模板字面量标签函数
m0_68635815的博客
02-18 167
对于有 n 个插值的模板字面量,传给标签函数的表达式参数的个数始终是 n,而传给标签函数的第 一个参数所包含的字符串个数则始终是 n+1。模板字面量也支持定义标签函数(tag function),而通过标签函数可以自定义插值行为。标签函数 会接收被插值记号分隔后的模板和对每个表达式求值的结果。标签函数本身是一个常规函数,通过前缀到模板字面量应用自定义行为。标签函数 接收到的参数依次是原始字符串数组和对每个表达式求值的结果。这个函数的返回值是对模板字面量求 值得到的字符串
JavaScript中模板字面量定义标签函数
咱们裸熊
05-01 448
JavaScript中模板字面量定义标签函数
es6中 “标签模板”的一个重要应用
TSeven37的博客
08-26 1855
标签模板”的一个重要应用,就是过滤 HTML 字符串止用户输入恶意内容。 let message = SaferHTML`&lt;p&gt;${sender} has sent you a message.&lt;/p&gt;`; function SaferHTML(templateData) { let s = templateData[0]; for (let i =...
es6字符串添加html标签,JavaScript_详解JavaScript ES6中的模板字符串,在 ES6 中引入了一种新的字符 - phpStudy...
weixin_39759918的博客
07-02 1281
详解JavaScript ES6中的模板字符串ES6 中引入了一种新的字符串字面量模板字符串,除了使用反引号 (`) 表示,它们看上去和普通的字符串没有什么区别。在最简单的情况下,他们就是普通的字符串:context.fillText(`Ceci n'est pas une cha?ne.`, x, y);context.fillText(`Ceci n'est pas une cha?...
AngularJS动态模板XSS攻击实例与护策略
在AngularJS中,攻击者可以通过巧妙构造包含JavaScript代码的模板字符串,例如: ```html <p>{{ '<script>alert("XSS attack!");</script>' }} ``` 当浏览器解析这段HTML时,会尝试执行嵌入的代码,导致弹出警告框...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值