HTML转义以及防止JS注入攻击

最新推荐文章于 2021-06-28 10:29:02 发布
最新推荐文章于 2021-06-28 10:29:02 发布
阅读量294 收藏
点赞数 2
分类专栏: javaEE

HTML转义以及防止JS注入攻击

2018年08月18日 15:07:13 KOLO86 阅读数:902

目的

这周在开发即时聊天的时候,发生存在JS注入攻击的问题。如果用户输入了一段js脚本。 
例如: 
<script>alert('我进来了');</script> 
页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。 
于是我在网上搜索了相关的解决方案。

解决方案:利用html转义

html转义是将特殊字符或html标签转换为与之对应的字符。如:< 会转义为 <> 或转义为 >;像<script>alert('我进来了');</script>这段字符会转义为:<script>alert('test');</script>再显示时页面会将<解析为<,>解析为>,从而还原了用户的真实输入,最终显示在页面上 的还是<script>alert('test');</script>,即避免了js注入攻击又真实的显示了用户输入。

实现方法:JS或JQ

1,JS

//转义  元素的innerHTML内容即为转义后的字符
function htmlEncode ( str ) {
  var ele = document.createElement('span');
  ele.appendChild( document.createTextNode( str ) );
  return ele.innerHTML;
}
//解析 
function htmlDecode ( str ) {
  var ele = document.createElement('span');
  ele.innerHTML = str;
  return ele.textContent;
}

2,JQ

//转义
function htmlEncodeJQ ( str ) {
    return $('<span/>').text( str ).html();
}
//解析
function htmlDecodeJQ ( str ) {
    return $('<span/>').html( str ).text();
}

我是使用JQ的方法的,因为它的兼容性更好一点。在我的实际应用中,只需要将这段JS脚本代码进行转义即可,不需要调用解析这个方法,因为浏览器会自动帮我们解析出来的。

本文转载于:https://blog.csdn.net/taoerchun/article/details/50778799

lwd2621
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阻止javascript注入攻击
gcyy0106的专栏
06-22 1047
阻止 JavaScript 注入攻击本教程的目的是解释如何在 ASP.NET MVC 应用程序中阻止 JavaScript 注入攻击。本教程讨论防止网站遭受 JavaScript 注入攻击的两种方法。我们将学习如何通过编码显示的数据防止 JavaScript 注入攻击。我们还将学习如何通过编码接受的内容防止 JavaScript 注入攻击。什么是 JavaScript 注入攻击
浅谈html转义防止javascript注入攻击的方法
10-20
下面小编就为大家带来一篇浅谈html转义防止javascript注入攻击的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
小解html转义防止javascript注入攻击
qq_43288882的博客
09-27 178
萌新在练习留言板时发现在输入框中写一段js脚本,例如,不但有效的避免了javascript注入攻击,又反映出用户的真实输出。 我们可以利用jquery来解决 /*对html标签进行转义*/ function htmlEncode ( str ) { //str为输入值 return $('&amp;amp;lt;span/&amp;amp;gt;').text( str ).html(); } /*对html标签进...
JS转换HTML转义符,防止javascript注入攻击,亲测可用
qq_43685389的博客
11-15 382
JS转换HTML转义符,防止javascript注入攻击,亲测可用
防止javascript 注入解決方法
TAINK
12-15 315
        //防止javascript 注入:         String strings = "&lt;java&gt;test&lt;/java&gt;";         System.out.println(strings.replace("&lt;", "&amp;lt;").replace("&gt;", "&amp;gt;&quo
浅谈html转义防止javascript注入攻击的方法.docx
11-24
浅谈html转义防止javascript注入攻击的方法.docx
jquery ajax对特殊字符进行转义防止js注入使用示例
10-26
在Web开发中,JavaScript注入JS注入)是一种常见的安全威胁,它允许攻击者通过输入恶意脚本到网页的输入字段,使这些脚本在用户的浏览器上执行,可能导致数据泄露、权限提升或其他不良后果。jQuery的AJAX功能在...
JS实现HTML标签转义及反转义
10-20
首先,HTML转义的目的是防止XSS(Cross Site Scripting)攻击,这是一种恶意用户注入HTML或JavaScript代码到网页上,以执行未经授权的操作的攻击方式。例如,用户输入`<script>alert('XSS');</script>`,如果不进行...
Javascript进行HTML转义
暗夜之城
05-21 636
$package("js.lang");// 没有包管理时,也可简单写成 js = {lang:{}};   js.lang.String=function(){      this.REGX_HTML_ENCODE =/"|&|'||[\x00-\x20]|[\x7F-\xFF]|[\u0100-\u2700]/g;    
浅谈html转义防止javascript注入攻击
热门推荐
taoerchun的专栏
03-02 3万+
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。 一:什么是html转义html转义是将特殊字符或html
网页js脚本注入,可执行任意代码。
11-01
网页js脚本注入,可执行任意代码。这里有个实例教程,通过注入实现跳过验证码。
php js html转义,浅谈html转义防止javascript注入攻击的方法
weixin_32016817的博客
03-20 187
下面小编就为大家带来一篇浅谈html转义防止javascript注入攻击的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的...
页面显示jsHTML标签内容(防js注入攻击
Vern的专栏
10-26 4127
(1)只需要由界面输出的话,可以用document.write() (2)通用性更高的一种方法是使用textarea来完成。可以满足从后台批量取数据显示。 比如这是个分页的表格内有个绑定字段包含html标签, 如果不做处理,第一条记录的评论内容显示为空,如果内容由客户端上传,就可能会被js注入,获取cookies等信息。 这里可以用第二种方法完美解决, “
html转义js代码攻击防止攻击
qq_43288277的博客
09-27 6032
1.html转义? html转义是将特殊字符或html标签转换为与之对应的字符。如:&lt; 会转义为 &lt;&gt; 或转义为 &gt;像“”,即避免了js注入攻击又真实的显示了用户输入。 2.如何转义? *通过 js 实现:* *通过 jquery 实现* 3.使用 var msg=htmlEncodeJQ('&lt;script&gt;alert('test')...
html攻击原理,常见Web攻击(1)—— 代码注入攻击
weixin_29349579的博客
06-05 2120
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?从安全的角度来看,Http协议具有以下特点:单纯Http在协议层面不具备必要的安全功能在客户端可篡改Http请求,使得攻击更容易实现因此,在对外提供Http服务时,要保持不信任用户输入的原则,谨慎防范可能发生的Http攻击。在此小结一下比较常见的代码注入类Web攻击,以及对应的防范方法。所谓代码注入众所周知,程序是由代码...
html禁止特殊字符输入,防止特殊字符输入到HTML文本字段
weixin_35133198的博客
06-04 848
我有一个输入文本字段,需要限制哪些字符可以输入。作为一种防止错误输入的防御形式,我试图不让用户输入不正确的东西。输入可以是[a-zA-Z -._]个字符,限制为32个字符。防止特殊字符输入到HTML文本字段正如你所看到的,我已经有32个字符限制想通了,并从输入任何更多的已达到极限后阻止用户。但是我在防止输入不正确的字符时遇到了问题。我使用jQuery的.keypress()和.keydown()事...
XSS攻击,常见的攻击方式之一,使用JS脚步注入目标网页
苛学加记事
05-10 1277
什么是XSS攻击
HTML转义字符防止js代码注入攻击
qq_38269004的博客
09-28 684
什么是js注入攻击 有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的 什么是html转义 html转义是将特殊字符或html标签转换为与之对应的字符。如:&amp;lt; 会转义为 &amp;lt;&amp;gt; 或转义为 &amp;gt;像“”,即避免...
html转义es,Js特殊字符转义htmlEscape()方法
weixin_39928667的博客
06-28 997
为了防止XSS攻击,常常需要将用户输入的特殊字符进行转义,原生js貌似还没有直接对其专业的方法,最近再读Js高级程序设计的时候刚好看到,碰巧项目中也刚好需要使用次方法,于是就之家搬来用了。网上关于转义的方法很多,其实原理基本一样,再次就把树上的代码直接搬来分享给大家(待更新。。。。)/*传入html字符串源码即可*/function htmlEscape(text){return text.rep...
html 参数 js注入攻击
最新发布
10-06
5. CSP(Content Security Policy):通过Content Security Policy,可以限制页面内可以执行的JavaScript代码的来源,有效地防止注入攻击。 总之,预防HTML参数JS注入攻击最重要的是保证用户输入的安全性,对输入进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值