js防止注入实现

于 2019-10-09 15:13:00 发布
阅读量494 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35250826/article/details/102473552
版权

今天其他项目组同事过来问过我是否遇到过这种情况?

场景:在项目input框中输入含有script标签包含的脚本,提交后却意外的被执行了。(所有恶意攻击的脚本标签)

问题:HTML没有进行转义的发送,会导致回显或者提交的时候html语义无法解释 < 和 > 符号,认为其是标签。故进行标签模式的渲染。

解决:每次发送前对输入的字符串进行特殊符号的转义,避免html标签符号和特殊符号给解释器造成冲突。从而导致XSS的恶意脚本攻击。

 

下面附上防止js脚本注入的源码:

<!DOCTYPE html>
<html>
    <head>
        <meta charset="UTF-8">
        <title></title>
    </head>
    <body>
        <textarea id="textarea" style="width:300px;height:100px;"></textarea>
        <button id="getValue" οnclick="getVal()">获取</button>
        <button id="setValue" οnclick="setVal()">赋值</button>
    </body>
    <script>
        var $ = document.getElementById('textarea');
        var _val = '';
        function getVal(){
            _val = htmlEncode ($.value);
            alert(_val);
            $.value = '';
        }
        function setVal(){
            $.value = htmlDecode (_val);
        }
        //转义  元素的innerHTML内容即为转义后的字符
        function htmlEncode (str) {
          var ele = document.createElement('span');
          ele.appendChild( document.createTextNode( str ) );
          return ele.innerHTML;
        }
        //解析 
        function htmlDecode (str) {
          var ele = document.createElement('span');
          ele.innerHTML = str;
          return ele.textContent;
        }
    </script>
</html>

 

使用方式

1、将XSS攻击的脚本语言输入到textarea文本域中,点击获取会弹出其转义后的字符串。

2、点击赋值会将转移后的字符串赋值给textarea文本域的value。从而html解释器解释特殊字符,并显示出用户想要显示的特殊语义。

 

有问题欢迎广大代码爱好者交流,互相学习。

 

王维璋
关注
JS代码防止SQL注入的方法(超简单)
01-19
下面通过两个方面给大家介绍js代码防止sql注入的方法,非常简单实用,感兴趣的朋友参考下吧! 1.URL地址防注入: //过滤URL非法SQL字符 var sUrl=location.search.toLowerCase(); var sQuery=sUrl.substring(sUrl.indexOf(=)+1); re=/select|update|delete|truncate|join|union|exec|insert|drop|count|'||;|>|<|%/i; if(re.test(sQuery)) { alert(请勿输入非法字符); location.href
防止js注入
悦分享
10-28 6080
防止js注入 有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:&lt;script&gt;alert('test');&lt;/script&gt;,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢? 使用HttpServletReques...
防脚本注入问题
muamomo的专栏
11-10 488
//预防脚本请入的js校验 function chkScript(element,msg) {     var reg = /.*\.*\.*/i;     var reg2 = /.*\.*\.*/i;     if (reg.test(element.value) || reg2.test(element.value))     {         alert(msg);
JAVA防止JS html 注入
wscrf的博客
03-27 3007
[java] view plain copy public class HtmlEncode {              public static String htmlEncode(String string) {          if(null == s...
浅谈html转义及防止javascript注入攻击的方法
10-20
防止JavaScript注入攻击的关键在于正确处理用户输入的数据。以下是一些预防策略: 1. **HTML转义**:如上所述,对用户输入的数据进行HTML转义是最基本的防御手段,可以防止浏览器将它们解释为JavaScript代码。 2. ...
防止xss和sql注入:JS特殊字符过滤正则
10-27
对于SQL注入,JavaScript层面的过滤并不足够,因为SQL注入主要发生在服务器端。在服务器端,应当使用预编译的SQL语句(如PHP的PDO或Node.js的mysql模块),或者使用参数化查询,确保即使输入包含恶意SQL片段,也不会...
分享两段简单的JS代码防止SQL注入
10-22
总结来说,这两段JS代码展示了如何通过前端代码实现对输入内容的初步安全检查,以防止恶意用户利用输入字段进行SQL注入攻击。然而,前端验证只是安全防护的一小部分,后端的安全处理同样重要。开发者在开发过程中应...
开发技术 Web开发,防止url注入
11-09
这段程序是针对各业务系统通过URL进行越权注入进行控制的脚本
防止input框输入的javascript代码
04-13
可以有效的阻止在hutml文档的input框中输入内容,纯手写,经检测可以顺利运行
jquery ajax对特殊字符进行转义防止js注入使用示例
10-26
在Web开发中,JavaScript注入JS注入)是一种常见的安全威胁,它允许攻击者通过输入恶意脚本到网页的输入字段,使这些脚本在用户的浏览器上执行,可能导致数据泄露、权限提升或其他不良后果。jQuery的AJAX功能在...
防止JS注入
不忘初心的专栏
09-21 1786
<t 当前台显示用户输入的数据或者是从后台传过来的数据,就容易造成js注入,最新在开发网页的时候,由于忘记对从后台过来的数据做校验,导致出现了js注入。 什么是js注入? 比如下面这样一段html代码,显示表格数据。 但是如果把一段代码
防止前端脚本JavaScript注入
weixin_30393907的博客
04-15 590
在使用ajax进行留言的时候,出现了一个问题.因为留言内容写完之后,通过ajax提交内容,同时使用js把留言的内容添加到页面上来.浏览留言的时候也是通过ajax请求,然后再显示的.这样,如果有人在留言里写入了js语句,这结语句都会被执行.解决办法就是对这些特殊字符进行转义再显示出来.如果在jsp中使用jstl标签,就很简单了.直接使用<c:out value=”${r.content}”/&...
Javascript 输入框 xss注入 以及防范
Johnny Liao的博客
12-02 9502
注入 类似于sql注入,在输入内容上动手脚,然后造成标签闭合的现象,再写入恶意 的js; 例如: &lt;input type="text" value="$var"&gt; 输入的内容如果是 " onclick = "javascript_function()" &gt; 在遇到有字符限制的情况下,可以将两个input之间的内容注释掉, 再在之间构建恶意的js &lt;in...
如何避免JavaScript 注入攻击?
qq_43288299的博客
09-27 3934
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。 假设用户正在将以下文本输入到客户反馈表单中: &amp;amp;lt;...
前端防止XSS注入
chen649053473的博客
01-17 2760
思路:         去掉所有跟sql有关的标签:   $(function () { $(":input").change(function () { // alert($(this).attr('id')); removeHTML($(this).attr('id')); }) ...
简单的js注入
热门推荐
天才战士的博客
08-16 1万+
个人网站:天才网007
JAVA防止SQL注入攻击类实现与示例
"提供了一段JAVA防止SQL注入攻击的源代码,包括网页版的JavaScript验证函数和Java类。JavaScript部分用于前端用户输入的初步检查,Java类则可能用于后端进一步的数据过滤和安全处理。" 在Java编程中,SQL注入是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值