html 中 textarea input 的输入、存储、显示 与 xss 防御

最新推荐文章于 2023-06-29 15:15:33 发布
最新推荐文章于 2023-06-29 15:15:33 发布
阅读量2.4k 收藏 1
点赞数 1
分类专栏: html 文章标签: html textarea input xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37202351/article/details/86489244
版权
html 中 textarea input 的输入、存储、显示 与 xss 防御。需求如下:存储用户在 textarea input 中输入的原始数据(非转义后的数据),并可以正确显示,同时要避免 xss 攻击。存在的问题:使用 div 显示数据时,标签会被错误解析,同时会遭到 xss 攻击。为了避免 xss 攻击,通常的做法是修改用户输入的数据,如将 < 修改为 &l...
摘要由CSDN通过智能技术生成

html 中 textarea input 的输入、存储、显示 与 xss 防御。需求如下:

存储用户在 textarea input 中输入的原始数据(非转义后的数据),并可以正确显示,同时要避免 xss 攻击。

存在的问题:使用 div 显示数据时,标签会被错误解析,同时会遭到 xss 攻击。为了避免 xss 攻击,通常的做法是修改用户输入的数据,如将 < 修改为 &lt;,存在的问题如下:

存储真实数据,div 里显示数据前进行转义

如果要正确的在 div 上显示 textarea input 里输入的数据(避免 xss 攻击,同时显示 < 等标签),需要在获取到数据时,后台将 < 修改为 &lt;,同时还要过滤其他 xss 攻击。(但我早就放弃了这个方法,因为太麻烦了)

存储真实数据,用 pre 标签显示是否可以。

答:格式可以保留,但完全不能避免 xss 攻击。(除非输入存储的内容不包含特殊字符)

存储转义后的字符带来的问题1

如:用户输入的是 < ,则需要将 &lt;存储到数据库中。如果该字段的长度限制为1,保存时抛出异常。除非该字段设置的长度永远是用户输入字符长度的20倍以上,才能完全避免该问题。(前端用户输入 16 个字符,Mysql 中 v

最低0.47元/天 解锁文章
亦寒2017
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
xss基础,进阶和触发
weiliang369的博客
02-23 382
了解XSS的作用↓ 盗取cookie(直接登录管理员后台) 如何判断存在XSS↓ 弹窗测试payload <script>alert('xss')</script> //< script > 开始js语句 //< /script > 结束js语句 Alert('内容') //js的弹窗语句 HTML标记通常是成对出现。 常用语句 <script>alert(xss)</script> 我们输入一个r3bug提交查
XSS Payload学习浏览器解码
m0_46467017的博客
07-26 647
script>和数据只能有文本,不会有HTML解码和URL解码操作和里会有HTML解码操作,但不会有子元素其他元素数据(如div)和元素属性数据(如href)会有HTML解码操作部分属性(如href)会有URL解码操作,但URL的协议需为ASCIIJavaScript会对字符串和标识符Unicode解码根据浏览器的自动解码,反向构造XSSPayload即可。...
web开发如何保存textarea的格式 又能防御XSS攻击
sj005bd的博客
03-21 2549
最近在开发一个web项目的内部邮箱系统时被一个问题卡住了,我希望能通过邮箱向用户推送各类信息并且用户能原样式浏览。但是又希望对输入进行过滤防止恶意的XSS攻击。      一般而言,我们都会在服务器端使用htmlspecialchars(nl2br($str))对内容进行过滤防止XSS攻击,但是使用了这个方式,用户就没法原样式浏览信息。     如果不进行过滤,第一存在极大的安全风险,第二一
跨站脚本漏洞
weixin_46729085的博客
09-08 3751
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器没有这样的页面和内容),一般容易出现在搜索页面。 存储XSS:&...
textarea显示html页面的javascript代码
10-30
"在textarea显示html页面的javascript代码" 在textarea显示html页面的javascript代码是指在textarea控件显示html页面的内容,而不是显示html代码本身。这种需求常见于在线编辑器、博客评论区、论坛帖子等应用...
textarea文本域显示HTML代码的方法
10-31
因此,为了在`textarea`显示HTML代码,我们需要采取一些特殊的技术手段。 首先,我们可以使用`iframe`来实现这个功能。`iframe`是一个独立的浏览上下文,可以嵌入到网页显示完整的网页内容。在示例,`iframe`...
fletextarea控件html文本显示与转换
11-16
fletextarea控件html文本显示与转换
html+js将文本和图片保存(下载)到本地技术
热门推荐
cnds123的专栏
01-01 1万+
本文介绍html+js将文本和图片保存(下载)到本地技术,先介绍html+js将文本内容保存到本地文件,再介绍html+js将图片内容保存到本地文件。
怎么使用input执行xss攻击_XSS场景及修复方案总结
weixin_32562973的博客
01-16 4627
xss原理跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。xss分类反射型存储型DOM型xss场景和防御1. 恶意数据出现在标签内<body> ...恶意数据 </body>漏洞代码Strin...
web登录页面代码_XSS实战之登录钓鱼网站后台
weixin_39974882的博客
12-10 2528
前言感觉最近被盗号的很多,好朋友账号被盗,我竟然傻乎乎的转了200大洋。本篇就以钓鱼为主题,只是让大家提升一下对盗号的认识和理解,让大家对于钓鱼盗号有所防范。XSS漏洞之前写过一篇文章讲解XSS漏洞分类以及危害,XSS是跨站脚本攻击,属于被动式的攻击。XSS指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其Web里面的恶意代码会被执行,从而达到特殊目的。最常见的就是...
XSS学习笔记
00勇士王子的博客
04-11 178
XSS : 跨站脚本攻击 将恶意的js代码进行注入 注入点的两个要求: 1.输入的东西可以在页面上显示. 2.一个可以自行控制的参数位置 GET,POST,COOKIE 如用户名输入框,留言板等 1.反射型XSS: 即输即用,插入一次而没有进入服务器的存储结构 ?wd后为传输搜索选项的内容,可以进行插入恶意代码 这样的payload较长,可能带有敏感字符如< script>标签等, ...
Java的10种方法防止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
XSS从菜鸟到高手,你可能需要这些干货&技巧
MachineGunJoe666
06-03 2376
XSS 简介 XSS,全称Cross Site Scripting,即跨站脚本攻击,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据攻击代码的工作方式,XSS可以分为反射型的XSS存储型的XSS和DOM型的XSS。 反射型 反射型的XSS是非持久化的,攻击者事先制作好攻击链接,需要
Javascript 输入框 xss注入 以及防范
Johnny Liao的博客
12-02 9129
注入 类似于sql注入,在输入内容上动手脚,然后造成标签闭合的现象,再写入恶意 的js; 例如: &lt;input type="text" value="$var"&gt; 输入的内容如果是 " onclick = "javascript_function()" &gt; 在遇到有字符限制的情况下,可以将两个input之间的内容注释掉, 再在之间构建恶意的js &lt;in...
怎么使用input执行xss攻击_萌新向 | 输入框因何频受攻击?
weixin_32401075的博客
01-08 2970
萌新向XSS漏洞导言:我们决定特别建立一个专辑,以帮助没有基础的人快速入门。该专辑与同样分为Web与二进制两项,但与公众号的专辑区别在于,我们将着重引导新生入门,讲述最简单、最基础的知识,事无巨细地讲述相关知识点与操作,即使你对计算机一无所知,我们也相信,你能跟随着我们的文章,满足你之前对于安全的一些想象。如果你对安全一无所知却又非常感兴趣,那么,我们的文章将会是你入门的最佳选择。我们的...
XSS靶场的四种类型
qq_52973916的博客
10-11 488
xss初级学习
Ruo-Yi 前后端分离防止XSS攻击和自定义可以重复读取InputStream流
H_Q_Li的博客
10-21 3171
Ruo-Yi 前后端分离防止XSS攻击和自定义可以重复读取InputStream流
htmltextarea 显示行号
最新发布
06-08
HTML的`<textarea>`元素通常用于创建多行文本输入字段,但它本身并不支持内置的行号显示。如果你想在textarea添加行号,这通常是通过JavaScript或者CSS结合使用来实现的。以下是一个简单的实现方法: 1. 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值