防止js代码注入攻击

最新推荐文章于 2024-05-20 11:55:46 发布
最新推荐文章于 2024-05-20 11:55:46 发布
阅读量3.2k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43288085/article/details/82874357
版权

方法

利用正则,禁止除字母、数字、汉字其他的特殊字符。虽然可以解决但是这样影响了用户体现。

还可以利用转义。

什么是转义

说到这就不得不说一下什么是转义。

html转义是将特殊字符或html标签转换为与之对应的字符。如:< 会转义为 <> 或转义为 >像“"<“script>alert(‘test’);</script”>”这段字符会转义为:“"<“script>alert(‘test’);</script’>”再显示时页面会将<解析为<,>解析为>,从而还原了用户的真实输入,最终显示在页面上 的还是“”<“script>alert(‘test’);</script”>"”,即避免了js注入攻击又真实的显示了用户输入。

[来源于]https://www.jb51.net/article/99047.htm

转义使用

function innerHTML(sl) {
    sl = sl.replace(/(\n)/g,"");
    sl = sl.replace(/(\t)/g,"");
    sl = sl.replace(/(\r)/g,"");
    sl = sl.replace(/<\/?[^>]*>/g,"");
    sl = sl.replace(/\s*/g,"");
    sl = sl.replace(/<[^>]*>/g,"");
    return sl;
}
吼去
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈html转义及防止javascript注入攻击的方法
10-20
下面小编就为大家带来一篇浅谈html转义及防止javascript注入攻击的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
php,防止js注入的正则表达式
专业网站信息采集
01-12 682
$a ="/]*?>.*?/si";  $keyword = preg_replace($a,' ',$_POST['searchword']
第31讲 | 你了解Java应用开发中的注入攻击吗?
最新发布
qq_37756660的博客
05-20 675
安全是软件开发领域永远的主题之一,随着新技术浪潮的兴起,安全的重要性愈发凸显出来,对于金融等行业,甚至可以说安全是企业的生命线。不论是移动设备、普通 PC、小型机,还是大规模分布式系统,以及各种主流操作系统,Java 作为软件开发的基础平台之一,可以说是无处不在,自然也就成为安全攻击的首要目标之一。今天要问你的问题是,你了解 Java 应用开发中的注入攻击吗?
防止js注入
悦分享
10-28 6035
防止js注入 有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:&lt;script&gt;alert('test');&lt;/script&gt;,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢? 使用HttpServletReques...
JS代码防止SQL注入的方法(超简单)
热门推荐
evilcry2012的专栏
01-15 1万+
JS代码防止SQL注入的方法(超简单) 作者:jerrylsxu 字体:[增加 减小] 类型:转载 时间:2016-04-12 我要评论 下面通过两个方面给大家介绍js代码防止sql注入的方法,非常简单实用,感兴趣的朋友参考下吧 下面通过两个方面给大家介绍js代码防止sql注入的方法,非常简单实用,感兴趣的朋友参考下吧! 1.URL地址防注入
如何在node.js中避免命令行注入
曲折旅程,艰难人生
12-06 660
如何避免Nodejs中的命令行注入
h5页面注入js代码
09-01
而"注入JS代码"是指将JavaScript代码插入到H5页面中,以实现特定功能或增强用户体验。JavaScript是Web开发中的关键语言,它允许我们执行客户端脚本,与用户交互,以及控制页面行为。 首先,我们要理解JavaScript...
js/sql注入简易工具源代码
03-18
JavaScript注入通常发生在客户端,攻击者可以通过在输入字段中插入恶意脚本来执行非预期的JavaScript代码,可能导致信息泄露、页面篡改或其他安全问题。防止js脚本注入的关键是对用户输入进行严格的验证和过滤,确保...
郁金香代码注入器需要的收藏
03-05
在IT行业中,"注入"一词通常指的是代码注入攻击,这是一种利用不安全的编程实践将恶意代码插入到正常运行的程序中的方法。郁金香代码注入器可能是用于测试系统安全性的工具,也可能是黑客用于非法活动的手段。 代码...
YII2.0 中防止JS脚本注入
reg183的专栏
06-12 2629
$hello中的js代码不会执行,会原样输出 Html::encode($hello); $hello中的js代码不会执行,不会输出 \yii\helpers\HtmlPurifier::process($hello); 来自于datou:https://github.com/datou-leo/ci ...
防止xss和sql注入:JS特殊字符过滤正则
10-27
防止xss和sql注入:JS特殊字符过滤正则,需要的朋友可以参考一下
javascript防注入代码,过滤关键字!
weixin_33739627的博客
12-22 272
javascript防注入代码,过滤关键字! 其实没啥用,就是学下正则表达式,比如upupdatedate,过滤掉update还有update. 没啥意思.     js版的防范SQL注入攻击代码:    代码 &lt;script language="javascript"&gt;&lt;!-- var url = location.search; var re=/^\...
如何避免JavaScript 注入攻击
qq_43288299的博客
09-27 3829
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。 假设用户正在将以下文本输入到客户反馈表单中: &amp;amp;lt;...
js防止注入实现
乐夫天命兮的博客
12-25 3528
前端给后台传json格式参数,输入字段向后台传参时前端要做防止注入。 html转义是将特殊字符或html标签转换为与之对应的字符。如:&lt; 会转义为 &amp;lt;&gt; 或转义为 &amp;gt;像“&lt;script&gt;alert('test');&lt;/script&gt;”这段字符会转义为:“&amp;lt;script&amp;gt;alert('test');&amp;...
js代码注入
WiFi_Uncle的专栏
10-11 4849
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
js中用正则表达式 过滤特殊字符, js验证中文字母数字
weixin_34087307的博客
08-14 974
//匹配中文 数字 字母 下划线 var checkInput = function (str) { var pattern = /^[\w\u4e00-\u9fa5]+$/gi; if(pattern.test(c)) { return false; } return t...
JS正则表达式问题终于解决
abao88111的博客
01-24 89
问题终于解决了,先看看我的问题: varu=window.location.toString(); 想把地址栏中的某个参数清除掉,包括&,参数名=参数值,其中,参数值还有可能是汉字 用了这样的方法:u=u.replace(/&addExJobTitle=(.+)&?/g,''); 查了半天才弄出来的,解释一下: 要替换的参数是:addExJob...
如何屏蔽script注入
zl386119974的专栏
11-12 4056
字符串过滤    static public string HtmlEncode(string str)         {             str = str.Replace("&", "&");             str = str.Replace("             str = str.Replace(">", "&gt");
javascript处理HTML的Encode(转码)和Decode(解码)总结
weixin_33872566的博客
05-12 195
  HTML的Encode(转码)和解码(Decode)在平时的开发中也是经常要处理的,在这里总结了使用javascript处理HTML的Encode(转码)和解码(Decode)的常用方式 一、用浏览器内部转换器实现转换 1.1.用浏览器内部转换器实现html转码   首先动态创建一个容器标签元素,如DIV,然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textCo...
如何防止js注入攻击和SQL注入攻击
06-07
防止JS注入攻击: 1. 过滤用户输入:在前端和后端都要对用户输入的数据进行过滤,特别是一些特殊字符,如`<`、`>`、`&`等。可以使用正则表达式来过滤这些特殊字符。 2. 对特殊字符进行转义:在前端输出用户输入数据时,对一些特殊字符进行转义,如`<`转义成`<`,`>`转义成`>`,`&`转义成`&`等。 3. 使用CSP(Content Security Policy):CSP是一种Web安全政策,可以限制浏览器加载和执行外部脚本的能力,从而防止一些JS注入攻击防止SQL注入攻击: 1. 使用参数化查询:在后端处理用户输入时,使用参数化查询来执行SQL语句,防止用户输入的数据被当做SQL语句的一部分执行。 2. 避免拼接SQL语句:在后端处理用户输入时,避免将用户输入的数据直接拼接到SQL语句中,特别是一些特殊字符,如`'`等。 3. 过滤用户输入:在前端和后端都要对用户输入的数据进行过滤,特别是一些特殊字符,如`'`、`"`等。可以使用正则表达式来过滤这些特殊字符。 4. 使用ORM框架:ORM框架可以自动对用户输入的数据进行参数化查询,并且可以防止一些SQL注入攻击。常见的ORM框架有Entity Framework、Dapper等。 总之,防止JS注入攻击和SQL注入攻击的最好方法就是对用户输入的数据进行过滤和转义,避免直接将用户输入的数据拼接到JS代码和SQL语句中,特别是一些特殊字符。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值