页面输出时用 js 转义替换字符串中的 script 标签,防止 XSS

最新推荐文章于 2023-04-19 17:47:41 发布
最新推荐文章于 2023-04-19 17:47:41 发布
阅读量4.3k 收藏 2
点赞数 1
分类专栏: 网站 前端 SEO 文章标签: js replace xss javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iaiot/article/details/79267334
版权 
  function stringEncode(str){
      var div=document.createElement('div');
      if(div.innerText){
          div.innerText=str;
      }else{
          div.textContent=str;
      }
      return div.innerHTML;
  }

https://blog.iaiot.com/js-xss.html

tblStr = tblStr.replace(/<script>/gi, stringEncode("<script>"));
// 替换字符串变量或者结束标签这样写
tblStr = tblStr.replace(new RegExp("</script>",'gi'), stringEncode("</script>"));
$('#search-result').append(tblStr);

其中g表示全文替换,i表示忽略大小写;

haojiliang
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
js替换字符串的所有示例代码
10-27
本文为大家详细介绍下js如何替换字符串所有,肯定包含了你所想要的,具体的实现思路及代码如下,感兴趣的朋友可以参考下哈,希望对大家有所帮助
js的eval()函数把含有转义字符的字符串转换成Object对象的方法
01-19
在项目遇到一个问题:在前端需要把后台返回的json字符串转换成一个jsjson对象,可是从后台返回的字符串含有转义字符:\”, 在网上查到方法如下,可以处理这种情况: var page = eval(“(“+data+”&#41...
XSS (Cross Site Scripting) Prevention Cheat Sheet(XSS防护检查单)
weixin_33851429的博客
02-28 423
本文是 XSS防御检查单的翻译版本 https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet 介绍 本文描述了一种恰当地使用输出转码或者转义(encoding or escaping)防御XSS攻击的简单积极模式。 尽管存在巨量XSS攻击方式,遵守一些简单的规则能够彻底防住这类严...
防止xss和sql注入:JS特殊字符过滤正则
lyxkgc的博客
09-16 1269
防止xss和sql注入:JS特殊字符过滤正则
3-12xss防范措施及href和js输出点的案例演示
山兔的博客
04-29 1103
XSS常见防范措施 总的原则:输入做过滤,输出转义  过滤:根据业务需求进行过滤,比如输入点要求输入手机号,在后端写一个逻辑,只允许输入手机号格式的数字。  转义:所有输出到前端的数据都根据输出点进行转义,比如输出到html进行html实体转义,输入到JS里面的进行js转义。 案例演示 我们选择xss之href输出,这个地方,我们直接看源码 如果你输入的内容,不是百度,它会把你输入的内容,用htmlspecialchars()进行处理,同时它这里也用了ENT_QUOTES这么个类型,这意味着’"&
js html代码转译防xss攻击
webmazha的博客
05-06 1817
function safeHtml(a){//转译html代码 var s=""; for(var i=0;ia.length;i++){ var arg=String(a); s=arg.replace(/&/g,"&").replace(/,"<").replace(/>/g,">"); console.log
后端如何转义html,js脚本,防止xss攻击
qq_30503389的博客
04-19 637
具体来说,escapedString变量包含了HTML转义字符编码,如"
js用户输入进行转义、反转义,防XSS攻击
qq_53066920的博客
10-03 1247
js用户输入进行转义、反转义,防XSS攻击
javascript防止xss攻击
小丑鱼家的猪猪
06-11 7822
javascript防止xss攻击 XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器执行恶意代码脚本的脚本注入式攻击。本来缩小应该是CSS,但为了和层叠样式(Cascading Style Sheet,CSS)有所区分,故称XSS。 记录一下自己开发过程遇到的问题 输入标签不是用文本框或者文本域的,比如用用div做可编辑标签,ht...
关于 script 的 new RegExp 和 replace
myarche的博客
04-12 673
要修改一个页面JS 替换文本规则,结果遇到了一点点麻烦。 我们想替换掉 url 字符串的图片大小尺寸。 关于 replace 的正常用法: var str = 'https://ok99.com/wp-content/uploads/2021/04/1-48-355x200.jpg'; newstr = str.replace(/-(\d+)x(\d+)/,''); alert(newstr) PS:注意,replace 第一个参数的正则表达式不要加引号。 但是我们要使用 ne.
TML转义字符:xss攻击与HTML字符的转义和反转义
周陆军的博客,分享it技术。
06-25 1642
HTML常用转义字符对照表:最常用的字符实体 Character Entities、ISO 8859-1 (Latin-1)字符集、数学和希腊字母标志、重要的国际标记、JavaScript转义符、富文本通用转义字符、HTML特殊转义字符对照表
被注入js脚本的xss的解决方法
sina_panda
01-10 4357
acelan的解决方法// acelan fix xss // 20170110 假红包注入事件 function encodeHTML(source) { return String(source) .replace(/&/g, '&') .replace(/</g, '<') .replace(/>/g, '>')
c#转义字符串的所有正则特殊字符方法示例
01-20
代码如下:///  /// 转义字符串所有正则特殊字符 ///  /// ”input”>传入字符串 /// <returns></returns> string FilterString(string input) { input = input.Replace(“\\”, “\\\\”);//先替换“\”,...
javascript json字符串json对象转义问题
10-17
今天小编就为大家分享一篇关于javascript json字符串json对象转义问题,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
c语言基础之字符串+转义字符
01-03
像这种由双引号引起来的一串字符称为字符串字面值,简称字符串。 'a' C语言用单引号引起来的叫做字符 a 用双引号括起来的叫做字符串 注意: C语言是不提供字符串类型的 ,但是它有字符串。c++或者Java是提供字符...
'ng' 不是内部或外部命令,也不是可运行的程序或批处理文件 或 bash: ng: command not found
热门推荐
haojiliang
11-22 1万+
新博客地址:https://blog.iaiot.com/bash-ng-command-not-found.html 重新以管理员权限运行npm install -g @angular/cli 如果报错,就先删掉 C:\Users\adminstrator\AppData\Roaming\npm\node_modules\@angular\cli\node_modules 目录,然后再运行...
npm install webpack -g 和 npm install --global vue-cli 失败报错 Unexpected end of JSON input while parsi
haojiliang
08-18 4986
https://blog.iaiot.com/npm-install-webpack-g.html npm install webpack -g 和npm install --global vue-cli 失败报错如下: Unexpected end of JSON input while parsing near '...s":"~1.0.0","string_d' npm ERR! A...
WebStorm打断点调试Angular4应用
haojiliang
01-20 4834
我用的是WebStorm和Google浏览器调试的Angular4,配置步骤如下: https://blog.iaiot.com/WebStorm-debug-angular.html 1. 2. 3. 4. 5. 现在在Google浏览器或者WebStorm打断点调试都可以了,代码会自动同步到断点位置。 在浏览器控制台也可以看到TypeScript代码了。 官方文档...
js json字符串替换转义字符 \" 为'"
最新发布
05-31
可以使用字符串的 `replace()` 方法,将所有的 `\"` 转义字符替换为单引号字符 `'`。例如: ```javascript const jsonString = '{"name":"John Doe","age":30,"city":"New York\\"s"}'; const unescapedJsonString = jsonString.replace(/\\"/g, "'"); console.log(unescapedJsonString); // 输出:{"name":"John Doe","age":30,"city":"New York's"} ``` 这里使用了正则表达式 `/\\"/g`,表示匹配所有的 `\"` 转义字符,并使用单引号字符 `'` 替换它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值