过滤 javascript,html 很重要!

最新推荐文章于 2021-06-25 21:49:32 发布
最新推荐文章于 2021-06-25 21:49:32 发布
阅读量3.1k 收藏 4
点赞数
分类专栏: PHP 文章标签: html Html HTML javascript JavaScript Javascript php PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liruxing1715/article/details/8229310
版权

本文改自: http://blog.51yip.com/php/1031.html

用户输入的东西是不可信认的,例如,用户注册,用户评论等,这样的数据,你不光要做好防sql的注入,还要防止JS的注入,html的注入。

一,javascript注入的危害

举个简单的例子,我在一个网站留言了,并且这个网站没有对 JS 进行过滤,我在留言中加入以下内容:

<script type="text/javascript">
while (true) {
	alert('我弹!');
}
</script>

上面的代码虽然简单,可是可以无限循环,并且会一直弹东西出来,让人感觉很不爽,直到浏览器没有响应为止。浏览您网站的人,第一反应肯定是这个网站有病毒,而离开你的网站。

针对如上的情况,这里有两种解决方案

第一种方案:使用 htmlspecialchars 函数转换特殊字符和使用 nl2br 函数插入一些必要的 <br /> 标签。

代码清单:

$comment = <<<eof
<script type="text/javascript">
while (true) {
	alert('我弹!');
}
</script>
eof;  //假如 $comment 就是评论内容
$comment = nl2br(htmlspecialchars($comment)); //过滤javascript代码
echo $comment;

得到源码为: 

&lt;script type=&quot;text/javascript&quot;&gt;<br />
while (true) {<br />
	alert('我弹!');<br />
}<br />
&lt;/script&gt;

而浏览器会把 js 代码原样输出来。这种方案百度贴吧就是这么干的。

第二种方案:把评论内容中出现的所有的<script...>,</script>去掉

代码清单:

$comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment); //把评论内容中出现的所有的<script...>,</script>去掉

得到源码为:

while (true) {
	alert('我弹!');
}

这样的话,因为这段代码缺少<script></script>,所以运行不起来。

二,html注入的危害

1,容易引起页面错乱,对用户输入 html 标签不做处理的话,在读取的时候,很有可能就会破坏页面的布局。

2,影响 seo,做 seo 的人都知道,pr 高的网址,如果有链接,链到你的网站的话,可以加大自己网站的权重,这也是为什么有那么多人喜欢在高 pr 网站灌水的原因了。如果你没有对 html 标签进行处理的话,我输入以下内容

<a href="http://XXX.com" style="display:none;">XXX.COM</a>

XXX.COM是个不河蟹网站,政府肯定会河蟹的,如果你的网站有链接到这样的网址,很有可能导致网站权重降低。

危害肯定不止这二个,因此要对这些html标签进行处理

处理的方法很简单:使用 strip_tags() 函数即可。


ruxingli
关注
专栏目录
防止html脚本注入的脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
JavaScript过滤
HERO
11-19 709
public string NoHTML(string Htmlstring) //去除HTML标记      {         //删除脚本          Htmlstring = Regex.Replace(Htmlstring, @" ]*?>.*? ",string.Empty, RegexOptions.IgnoreCase);         //删除HTML          
一个简单的用javascript实现的页面内容过滤显示小程序源码
ruanzhengly的专栏
01-09 993
一个简单的使用javascript实现的,根据用具输入,动态过滤页面显示内容的小程序。使用了正则表达式匹配用户输入,忽略前后空格,忽略大小写,兼容IE6.0和Firefox2.0。 前阵子没事的时候做着玩得,当时只在IE下实现,今天修改了一下,兼容firefox,还费了一番功夫。没办法,现在做的项目只要求IE,结果就对兼容性的东西了解的不是很多,看来以后还要努力啊。哈哈。下面是完整的代码:
html5 防止脚本攻击,php防止xss攻击,过滤不正常的所有字段脚本
weixin_28728265的博客
06-22 187
先安装扩展composer require lincanbin/white-html-filter自己新建一个类
javascript 过滤_功能性JavaScript中的过滤和链接
01-24 204
javascript 过滤 本文由Dan Prince , Vildan Softic和Joan Yinn进行了同行评审。 感谢所有SitePoint的同行评审员使SitePoint内容达到最佳状态! 我对JavaScript的欣赏之一是它的多功能性。 JavaScript使您有机会使用面向对象的程序设计,命令式程序设计甚至函数式程序设计。 您可以根据当前的需求以及团队的偏好和期望在它们之间...
JavaScript 过滤关键字
10-20
这是编写健壮JavaScript代码的一个重要原则。 在代码的最后,定义了一个包含“Java”、“关键字”和“方法”的数组,以及一个HTML元素变量params。调用filterContent函数,传入数组和元素作为参数,执行过滤操作。...
javascript过滤XSS
05-06
JavaScript过滤XSS...总的来说,JavaScript过滤XSS是一项重要的安全措施,而`js-xss`库提供了一个方便的工具来帮助开发者实施这一措施。正确使用和配置这个库,可以在不牺牲用户体验的情况下,有效地防止XSS攻击。
在 jQuery 插件中 实时搜索/过滤HTML 表格_JavaScript_代码_相关文件_下载
07-12
jQuery FilterTable插件提供了一种简单、高效的解决方案,使得开发者无需从头编写复杂的过滤逻辑,从而可以专注于其他更重要的业务功能开发。通过熟练掌握和应用此类插件,可以提升用户体验,使数据管理变得更加便捷...
javascript过滤危险脚本方法.docx
01-19
JavaScript过滤危险脚本是Web开发中的重要安全措施,主要用于防止跨站脚本攻击(XSS,Cross-Site Scripting)。XSS攻击允许攻击者在用户的浏览器中注入恶意脚本,可能导致敏感数据泄露、用户会话劫持等严重后果。...
Kindeditor在线文本编辑器如何过滤HTML
10-22
KindEditor是一个开源的HTML可视化编辑器,主要用JavaScript编写,能够提供所见即所得的编辑效果,广泛适用于包括IE、Firefox、...正确配置过滤规则,可以在很大程度上减少安全风险,保证网站内容的标准化和整洁性。
过滤<script>和</script>之间的JS代码
bbwfang 个人博客
12-21 533
#region 过滤JS代码 /// /// 过滤JS代码 /// /// /// public static string FilterScript(string content) { return Regex.Replace(conte
html根据密码长度,JS实现根据密码长度显示安全条功能_七喜_前端开发者
weixin_30464195的博客
06-16 208
大家在一些网站上经常可以看到数码密码会根据输入的密码长度显示安全条功能,此功能基于//根据密码长度显示安全条密  码: *弱中强使用数字,字母,下划线,长度在 6 - 20 个字符之间function pwStrength(pwd){O_color="#eeeeee";L_color="#FF0000";M_color="#FF9900";H_color="#33CC00";if (pwd==nu...
javascript 过滤 script 非法标签 防止注入
热门推荐
清晨一场梦
07-23 2万+
方法如下: /** * [hasIllegalChar 判断是否含有script非法字符] * @param {[type]} str [要判断的字符串] * @return {Boolean} [true:含有,验证不通过;false:不含有,验证通过] */ function hasIllegalChar(str) { ...
html编辑及JS脚本过滤
wangjun8868的专栏
11-19 2654
public static string NoHTML(string Htmlstring) //去除HTML标记 { //删除脚本 Htmlstring = Regex.Replace(Htmlstring, @"(?is)]*>(?(?!/1/b).)*", string.Empty, RegexOpti
关于HTML、js加密、混淆、源码保护、代码安全,防止解压直接看源码
weixin_34216196的博客
05-01 1667
一直有人问HTML加密混淆怎么做,其实这在业内是早已很多人研究过的课题。假日期间整理一篇文章分享给大家。 我们先理下需求,加密的目的是什么?加密到什么级别?为此我们可以牺牲什么?我们知道这个世界不存在绝对的安全,加密会被破解、混淆会被反混淆。技术小白、开发者、黑客,是完全不同的级别,防范不同级别的人策略都不一样。防范力度越大,投入代价也越大,比如聘请专业的安全公司。除了投入,我们还需要考虑程序的执...
html避免js脚本注入,chrome浏览器拓展——js脚本拦截及注入
weixin_28972687的博客
06-25 2492
概要该浏览器拓展插件是拥有为页面拦截和注入js功能的chrome浏览器扩展,可以拦截页面脚本、检索页面脚本文件、下载页面脚本文件、为页面注入js文件,以及为页面注入requirejs和requirejs入口文件。安装方式拓展为开发版本,尚未打包发布,安装时需要将项目文件更新到本地,具体如下:1,更新项目到本地目录,如:/users/js_inject2,在chrome浏览器中打开 chrome:/...
html避免js脚本注入,如何在angularjs中呈现html之前防止脚本标记注入/加载?
weixin_39699070的博客
06-25 139
var testApp = angular.module('testApp',['ngSanitize']);testApp.controller('TestController',function($scope,$sce){\t $scope.htmlString = "Test HTMLalert('Hello Script');";\t $scope.toTrusted = function...
页面显示js和HTML标签内容(防js注入攻击)
Vern的专栏
10-26 4146
(1)只需要由界面输出的话,可以用document.write() (2)通用性更高的一种方法是使用textarea来完成。可以满足从后台批量取数据显示。 比如这是个分页的表格内有个绑定字段包含html标签, 如果不做处理,第一条记录的评论内容显示为空,如果内容由客户端上传,就可能会被js注入,获取cookies等信息。 这里可以用第二种方法完美解决, “
防止基本的XSS攻击 滤掉HTML标签
weixin_34185512的博客
07-15 645
/** * 防止基本的XSS攻击 滤掉HTML标签 * 将HTML的特殊字符转换为了HTML实体 htmlentities * 将#和%转换为他们对应的实体符号 * 加上了$length参数来限制提交的数据的最大长度 */ function transform_HTML($string, $length = null) {   // Helps pr...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值