前端防止XSS注入

最新推荐文章于 2024-05-14 18:45:00 发布
最新推荐文章于 2024-05-14 18:45:00 发布
阅读量2.7k 收藏 4
点赞数 2
分类专栏: js jquery jsp 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen649053473/article/details/86522819
版权
java 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
js
6 篇文章 0 订阅
订阅专栏
jquery
4 篇文章 0 订阅
订阅专栏

思路:
        去掉所有跟sql有关的标签:


 

    $(function () {

        $(":input").change(function () {

// alert($(this).attr('id'));

            removeHTML($(this).attr('id'));

        })

    })

    function removeHTMLTag(str) {

        str = str.replace(/<\/?[^>]*>/gi, ''); // 去除HTML tag

        str = str.replace(/[ | ]*\n/gi, '\n'); // 去除行尾空白

// str = str.replace(/\n[\s| | ]*\r/g,'\n'); //去除多余空行

        str = str.replace(/&nbsp;/ig, '');// 去掉&nbsp;

        str = str.replace(/alert/gi, '');// 去掉alert;

        str = str.replace(/%3CSCRIPT/gi, '');// 去掉3CSCRIPT;

        str = str.replace(/input/ig, '');// 去掉input;

        str = str.replace(/iframe/ig, '');// 去掉iframe;

        str = str.replace(/window/ig, '');// 去掉window;

        str = str.replace(/link/ig, '');// 去掉link;

        str = str.replace(/location/ig, '');// 去掉location;

        str = str.replace(/JAVASCRIPT/ig, '');// 去掉JAVASCRIPT;

        str = str.replace(/update/ig, '');// 去掉update;

        str = str.replace(/insert/ig, '');// 去掉insert;

        str = str.replace(/select/ig, '');// 去掉select;

        str = str.replace(/[\[\]({!),:;?%<>"'}¨]/g, "");// 替换大部分英文标点


        return str;

    }

    // 将传过来的参数去掉非法字符

    function removeHTML(id) {

        debugger;

        var str = $("#" + id).val();

        str = removeHTMLTag(str);

        $("#" + id).val(str);

    }

 

abc小陈先生
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止xss和sql注入:JS特殊字符过滤正则
10-27
总结起来,防止XSS和SQL注入需要综合运用多种技术,包括但不限于前端的特殊字符过滤、后端的输入验证和安全编程。对于JavaScript中的特殊字符过滤,提供的函数`stripscript`是一个基础的示例,但实际应用中应考虑更...
【网络安全】防止XSS注入的方法
Xuetao_Shen的博客
03-22 2606
关于防止XSS注入: 1.尽量使用框架。通过对自己的网页进行xss保留型攻击的测试,尽管自己没有对某些输入框进入转义,但还是无法进行xss注入,因为框架会自动将某些特殊字符转义。(我使用的spring+struts+hibernate框架)。 2.如果不使用框架,一定要进行字符转义。对< 、> 、" 、 等字符进行转义成为:&lt; 、&gt; 、...
Web前端安全系列之:XSS
qq_44005305的博客
01-15 1001
Web 攻击技术的发展也可以分为几个阶段。在 Web 1.0 时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称 webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入,SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世--XSS(跨站脚本攻击)。伴随着 Web 2.0 的兴起,XSS、CSRF 等攻击已经变得更为强大。
前端安全系列(一):如何防止XSS攻击?
最新发布
qkh1234567的博客
05-14 1641
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
前端页面JS注入问题,前端XSS安全问题解决办法
热门推荐
41981DC的博客
09-24 3万+
在页面中增加 JS 校验,对特殊符号进行替换,防止用户输入恶意代码导致 JS 注入问题。 在 web 开发中,对用户输入的内容做校验是必不可少的环节,不管是通过正则表达式对用户的输入进行校验,还是通过对特殊符号进行转义,均可达到目的。通过正则表达式校验,可能会导致用户体验差一点(因为用户不能自由输入~~),本文通过对 特殊符号进行转义 的方法来演示。 示例 自定义添加角色,包括角色名称、角色...
前端安全问题及范措施
weixin_42429220的博客
04-24 1324
本文介绍了前端安全问题,包括 XSS 攻击、CSRF 攻击、SQL 注入等。同时,也给出了针对这些安全问题的范措施,如在前端代码中过滤用户输入,使用 HTTP-only 标记,设置 Content-Security-Policy,添加 token,检查请求来源和使用参数化查询等。XSS 攻击(跨站脚本攻击)是指攻击者向 Web 页面中注入恶意代码,从而窃取用户信息或执行其他恶意操作。SQL 注入是一种最为常见的攻击方式之一,攻击者通过在用户输入中注入 SQL 代码,从而导致网站受到损害,破坏数据库安全。
easyUI下解决前端输入、复制情况下的DOM型Xss漏洞
qq_42634656的博客
02-28 1642
公司项目被安全机构检测到了存在DOM型XSS漏洞,实施又刚好把这个漏洞的修复交给了我。我并不了解这个漏洞是什么,打算面对百度编程(笑),但是查了很久都是一无所获,所以打算自己想办法解决.... 在使用了easyUI的项目中,如果向单元格输入或者粘贴 <script>alert(1);</script> 然后点击另一个单元格,前端就会很老实地弹出一个框..... 假如脚本代码里面不是alert(1)而是恶意代码的话,有可能会引起很严重的问题,所以需要修复这个漏洞。 在.
js代码注入
WiFi_Uncle的专栏
10-11 4840
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者通过构造恶意链接,诱使用户点击...
前端安全系列:如何防止XSS攻击?
01-27
防止XSS攻击的关键在于数据的正确处理和隔离。在将数据插入到HTML时,应当对用户输入进行转义,例如使用HTML实体替换敏感字符。对于JavaScript上下文中的数据,应当使用JSON编码或安全的模板引擎。同时,启用Content...
前端开源库-xss-filters
08-29
"前端开源库-xss-filters"是一个专门针对这种情况设计的开源库,其目标是提供安全的XSS过滤器,帮助开发者有效地防止XSS攻击。 这个库的核心功能是提供一系列的输出过滤机制,这些过滤器能够识别并清除或转义可能...
前端xss报警平台
10-15
2. **智能检测**:运用各种XSS过滤和转义策略,比如HTML实体编码、JavaScript转义等,对可疑输入进行验证,防止恶意代码注入。 3. **预策略**:提供一系列预XSS攻击的最佳实践,例如使用安全的库函数、禁止危险...
如何防止sql注入
jkwanga的博客
04-11 1834
什么是SQL注入? SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中 最普遍的漏洞之一。 例如:某学长通过攻击学校数据库修改自己成绩,一般用的就是SQL注入方法。 原因总结: 对sql语句和关键字未进行过滤 当前端传过来的数据进入到后端进行处理时,没做严格的判断,导致其传入的‘数据(含有sql关键字)’ 在拼接sql语句中 由于其特殊性,被当作sql语句的一部分被执行,导致数据库受损(修改,删除等) 防止方法: 过滤掉关键字:select、insert、update、delete
前端参数效验防止sql注入的方法
weixin_43578304的博客
11-17 1706
最近做完项目时,甲方对系统有要过安全等保三级的要求,这里针对我所编写的模块遇到的前端代码扫描出现的sql注入问题,给出部分解决方案。
WEB前端常见受攻击方式及解决办法总结
qq_44005305的博客
01-15 1351
具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。为防止这种行为,我们必须对所有的重定向操作进行审核,以避免重定向到一个危险的地方。原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
前端如何防止XSS攻击
HarryHY的博客
08-09 6356
什么是XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
前端安全:CSRF、XSS该怎么御?
椰卤工程师的个人博客
11-12 2350
XSS是后端的责任,后端应该在用户提交数据的接口对隐私敏感的数据进行转义。NO,这种说法不对所有插到页面的数据,都要进行过滤转移,当没有敏感字符的时候,就可以直接插到页面上显示了。NO,丝毫没有什么作用XSS攻击是页面被注入了恶意的代码,利用恶意脚本,攻击者可以获取用户的Cookie、SessionID等敏感信息。在HTML中内嵌的文本中,恶意内容通过script标签注入在内联的JS中,拼接的数据突破了原本的限制在标签属性中,恶意内容包含引导,从而突破属性值的限制。
前端安全之XSS的原理和
我可是小老虎的博客
10-11 881
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
防止前端xss攻击的方法
05-31
3. CSP(Content Security Policy):CSP是一种安全策略,可以帮助防止XSS攻击。通过CSP,可以限制页面资源的来源,例如限制只能从特定的域名加载脚本、样式表等资源。 4. HttpOnly Cookie:使用HttpOnly Cookie...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值