javascript防止xss攻击

最新推荐文章于 2024-06-03 08:26:45 发布
最新推荐文章于 2024-06-03 08:26:45 发布
阅读量7.9k 收藏 14
点赞数 1
分类专栏: xss 文章标签: xss攻击 xss防御 解决办法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34362251/article/details/91418696
版权

javascript防止xss攻击

XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击。本来缩小应该是CSS,但为了和层叠样式(Cascading Style Sheet,CSS)有所区分,故称XSS

记录一下自己开发过程中遇到的问题

  • 输入标签不是用文本框或者文本域的,比如用用div做可编辑标签html有一个属性contenteditable,如果设置为true表示可编辑,设置为plaintext-only表示只能输入纯文本,但是目前仅仅只是谷歌支持的比较好

    <div contenteditable="plaintext-only"></div>

  • innerText(JQ为text())不用innerHTML(JQ为html())

  • 用浏览器内部转换器实现转换

    • html转码

      首先动态创建一个容器标签元素,如DIV,然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持),最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了。

    • html解码

      首先动态创建一个容器标签元素,如DIV,然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持),最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。

      var HtmlUtil = {
 2     /*1.用浏览器内部转换器实现html转码*/
 3     htmlEncode:function (html){
 4         //1.首先动态创建一个容器标签元素,如DIV
 5         var temp = document.createElement ("div");
 6         //2.然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持)
 7         (temp.textContent != undefined ) ? (temp.textContent = html) : (temp.innerText = html);
 8         //3.最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了
 9         var output = temp.innerHTML;
10         temp = null;
11         return output;
12     },
13     /*2.用浏览器内部转换器实现html解码*/
14     htmlDecode:function (text){
15         //1.首先动态创建一个容器标签元素,如DIV
16         var temp = document.createElement("div");
17         //2.然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持)
18         temp.innerHTML = text;
19         //3.最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。
20         var output = temp.innerText || temp.textContent;
21         temp = null;
22         return output;
23     }
24 };

  • 使用正则表达式也是一种常用的处理方式,实现原理就是使用替换的方式来实现转码和解码,转码时把**<>,空格符,&,’,""**替换成html编码,解码就把html编码替换成对应的字符,实现代码如下:

    var HtmlUtil = {
 2     /*1.用正则表达式实现html转码*/
 3     htmlEncodeByRegExp:function (str){  
 4          var s = "";
 5          if(str.length == 0) return "";
 6          s = str.replace(/&/g,"&amp;");
 7          s = s.replace(/</g,"&lt;");
 8          s = s.replace(/>/g,"&gt;");
 9          s = s.replace(/ /g,"&nbsp;");
10          s = s.replace(/\'/g,"&#39;");
11          s = s.replace(/\"/g,"&quot;");
12          return s;  
13    },
14    /*2.用正则表达式实现html解码*/
15    htmlDecodeByRegExp:function (str){  
16          var s = "";
17          if(str.length == 0) return "";
18          s = str.replace(/&amp;/g,"&");
19          s = s.replace(/&lt;/g,"<");
20          s = s.replace(/&gt;/g,">");
21          s = s.replace(/&nbsp;/g," ");
22          s = s.replace(/&#39;/g,"\'");
23          s = s.replace(/&quot;/g,"\"");
24          return s;  
25    }
26 };
qq l vz z
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java防止XSS夸张脚本攻击
余额一个亿
06-03 556
首先我们需要将所有的请求过滤,使用AOP对每个请求做处理,在使用@RequestBody注解的时候,其框架底层调用了getInputStream()方法,因此我们需要重写该方法 获取请求体,在方法参数中加入ServletRequest参数,(纯手写不易,如有写错的字母请留意) public static String getBodyString(ServletRequest request)...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS攻击者通过构造恶意链接,诱使用户点击...
【前端安全】JavaScriptXSS攻击
qq_43288091的博客
09-27 7849
1.攻击过程 1、攻击者通过评论表单提交将 &lt;script&gt;alert(‘aaa’)&lt;/script&gt;提交到网站 2、网站后端对提交的评论数据不做任何操作,直接存储到数据库中 3、其他用户访问正常访问网站,并且需要请求网站的评论数据 4、网站后端会从数据库中取出数据,直接返回给用户 5、用户得到页面后,直接运行攻击者提交的代码,所有用户都会在网页中弹出aaa的弹窗 这种攻击...
如何防止 js(XSS攻击 解决方法
热门推荐
昊喵喵博士
02-20 1万+
了解js (xss攻击:https://blog.csdn.net/qq_30202073/article/details/87777264 规避方法 过滤特殊字符(第一种) 避免XSS的方法之一主要是将用户所提供的内容进行过滤,许多语言都有提供对HTML的过滤: PHP的htmlentities()或是htmlspecialchars()。 Python的cgi.escape()。 ...
JS加密解密/XSS的防御
mxd01848的博客
06-03 1089
总之,防御 XSS 攻击需要从多个角度进行考虑和处理,包括输入过滤、输出编码以及使用可靠的安全库和框架。通过多层次的防御策略,可以有效地提高应用程序的安全性。这段代码的目的是对用户输入进行过滤,以防止跨站脚本(XSS攻击。让我们详细拆解这段代码,并分析其工作原理和有效性。怎么隐藏你的xss保护逻辑呢,使用在线js加解密工具对代码进行保护。是一个用于过滤 XSS 攻击的函数。函数进行过滤,然后返回过滤后的结果。进行解码,并将其传递给。最终返回过滤后的字符串。,表示需要过滤的输入。,则不进行后续操作。
js[xss攻击和csrf攻击的原理以及防御措施]
墨水白云的博客
03-16 931
原理是利用受信任网站A的登录漏洞,危险网站B通过诱导拿到登录状态的Cookie对A网站进行访问,从而达到B网站人员获取用户在A网站的各种信息与相关api操作的目的。用户通过表单输入框等手段输入js脚本,在浏览器或者服务器运行起来从而起到盗用其他用户信息,注入广告等破坏页面结构的行为手段。防御的核心无非就是限制或者对用户输入的内容进行一些专项处理之后在保存或者返回。2.csrf本身是利用网站的登录漏洞攻击xss是提供js代码注入篡改网站攻击。2.在不登出A的情况下,访问危险网站B。
前端安全之XSS的原理和防范
我可是小老虎的博客
10-11 886
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
前端XSS攻击场景与Vue.js处理XSS的方法:vue-xss
zhangzuying的博客
12-21 3940
在前端开发中,跨站脚本攻击XSS)是一种常见的安全威胁。本文将介绍前端跨站脚本攻击XSS)的场景以及在Vue.js框架中如何处理XSS的方法。通过了解这些内容,我们可以更好地保护前端应用程序的安全性,防止恶意攻击。一个开箱即用的Vue.js插件,可通过简单的方式防止XSS攻击
前端如何简单的防止xss攻击
qq_38040571的博客
09-28 244
【代码】前端如何简单的防止xss攻击
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
防止XSS攻击xssProtect
01-09
防止XSS攻击的上下文中,它可能被用来解析和清理输入数据,确保输入的数据不包含恶意的JavaScript代码。 2. antlr-runtime-3.0.1.jar:这是ANTLR的运行时库,包含了ANTLR解析器在运行时需要的各种类和方法。在...
使用AngularJS中的SCE来防止XSS攻击的方法
10-24
在AngularJS中,防止XSS(跨站脚本)攻击是一项关键的安全措施。XSS攻击是恶意用户通过注入可执行的HTML或JavaScript代码到网页中,以窃取用户数据或控制用户浏览器的一种常见手法。AngularJS引入了Strict ...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
防止XSS攻击方面,ESAPI的`encodeForHTML()`和`encodeForJavaScript()`方法能够对用户输入进行编码,确保浏览器不会将其解析为可执行的HTML或JavaScript代码。 接下来,我们将讨论如何在SpringBoot项目中集成ES...
前端参数加密常见的几种方法,以及防止xss脚本攻击
summer_Eye的博客
11-16 2854
前端参数加密常见的几种方法,以及防止xss脚本攻击
JavaScript安全性:XSS、CSRF和CORS等常见的安全漏洞及其解决方案
tyxjolin的专栏
05-08 4118
开发人员应该采取适当的措施来保护他们的应用程序免受这些漏洞的影响,包括过滤和验证用户输入、使用安全的JavaScript库和框架、使用CSRF令牌和配置CORS等。本文将介绍几种常见的JavaScript安全漏洞,包括XSS、CSRF和CORS,并提供解决方案以保护您的应用程序免受这些漏洞的影响。例如,一个攻击者可能会发送一个包含修改用户密码的请求,而这个请求看起来是来自用户自己的浏览器,因此网站可能会对请求进行处理并修改用户密码。由于浏览器的同源策略,一般情况下,跨域请求是不允许的。
如何利用js加密防止xss注入
mxd01848的博客
10-17 724
如何利用js加密防止xss注入
如何防止xss跨站脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3295
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网站的安全性。
Deep Coral源码(深度相关性学习)
最新发布
07-25
Deep Coral(深度相关性学习)迁移学习网络资源 Deep Coral是一种先进的迁移学习技术,专注于通过学习源域和目标域之间的相关性来提高模型的泛化能力。这种方法在处理不同数据分布的问题时表现出色,尤其是在无监督领域自适应的场景中。 Deep Coral网络核心特点: 相关性学习 - Deep Coral通过学习源域和目标域特征之间的相关性,减少领域差异,提高模型的泛化能力。 无监督学习 - 该方法无需目标域的标签信息,即可实现有效的领域自适应,适合标签稀缺的场景。 灵活性 - 该网络结构灵活,可以适用于多种不同的迁移学习场景,包括但不限于图像分类、语义分割等。
jersey如何防止xss攻击
05-26
Jersey 是一种用于构建 RESTful Web 服务的框架,其本身并没有提供直接的防止 XSS 攻击的功能。不过,我们可以通过一些方法来增强我们的服务,以防止 XSS 攻击。 以下是一些可以采取的措施: 1. 输入验证和过滤:在处理输入数据之前,对输入数据进行验证和过滤。可以使用一些开源的验证库,如 Hibernate Validator 或 Apache Commons Validator 等。 2. 输出转义:在输出数据到 HTML 页面时,对数据进行 HTML 转义,以防止恶意脚本注入。可以使用一些开源的转义库,如 OWASP Java Encoder 等。 3. CSP:Content-Security-Policy 是一种安全策略,可以限制页面中可以加载的资源和执行的脚本。可以在 HTTP 响应头中设置 CSP 策略。 4. HttpOnly Cookie:将 Cookie 标记为 HttpOnly,以防止 JavaScript 访问 Cookie 内容,从而防止 XSS 攻击。 5. 使用安全的框架:使用安全的框架可以帮助我们防止 XSS 攻击。例如,使用 Spring Security 可以帮助我们保护 Web 应用程序免受常见的 Web 安全攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值