ES6-模板字符串(标签模板-XSS攻击)

最新推荐文章于 2023-06-29 15:15:33 发布
最新推荐文章于 2023-06-29 15:15:33 发布
阅读量463 收藏 1
点赞数
分类专栏: ES6 文章标签: js html es6 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44747461/article/details/115608897
版权

1. 模板字符串

ES6中引入的新的声明字符串的方式 xxxxx
ES5声明字符串的方式 ''""

保存字符串中的格式

可以在内容中出现换行符

var str = `
    <div>1</div>
    <div>2</div>
    <p>3</p>
`

使用变量/常量或者表达式/方法

  • 使用形式:${xxx}

var xm = {
    age:18,
    height:180,
    name:'xiaoming'
}
var { age ,name, height } =xm;
var str = 'name' + name + 'age' + age + 'height' + height;
var newStr = `name: ${name} age: ${age} height: ${height}`; 
str === newStr // true

2. 标签模板 函数调用的特殊形式

使用形式

  • 函数名xxx ${params} xxx
  • 函数的第一位参数是数组 存放的是模板字面量``中 所有的非参数集合
  • 非参数集合的最后一位是个空字符串
  • 函数的剩余的参数对应调用时传递的参数(${params})
function say(str, name, city) {
    console.log(str)  // ['Hello ', ', Welcome to ', '']
    console.log(name) // xxx
    console.log(city) // BeiJing
}
const name = 'xxx'
const city = 'BeiJing'
say`Hello ${name} ,Welcome to ${city}`

过滤HTML字符串 防XSS攻击

  • 可以利用标签模板 对用户输入的内容进行处理 避免用户输入异常的js代码 对网页及浏览器造成影响
// 点击出现弹窗的代码经过处理(替换特殊字符)后 显示的只是字符串 不会按照js代码来执行
function SaferHTML(templateData) {
    let s = templateData[0];
    for (let i = 1; i < arguments.length; i++) {
        let arg = String(arguments[i]);
    
        s += arg.replace(/&/g, "&amp;")
                .replace(/</g, "&lt;")
                .replace(/>/g, "&gt;");
        s += templateData[i]         
    }
    return s
}
var demo1 = document.querySelector('.demo1')
var demo2 = document.querySelector('.demo2')
let sender = '<a οnclick="alert(1)">test demo</a>';
demo1.innerHTML = `<p>${sender} has sent you a message.</p>`
demo2.innerHTML = SaferHTML`<p>${sender} has sent you a message.</p>` 
//<p>&lt;a&gt;alert("abc")&lt;/a&gt; has sent you a message.</p>
  • html页面中最后呈现的内容 进过处理的js代码 变成了字符串,没有经过处理的js代码依旧存在交互效果,点击后出现弹窗
    标签模板
    标签模板运行结果
爱代码的小海
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
ES6模板字符串标签模板的应用实例分析
10-16
ES6模板字符串标签模板提供了一种强大而灵活的方式来处理字符串,提高了代码的可读性和维护性。模板字符串允许开发者以更自然的方式嵌入变量和表达式,而标签模板则允许开发者对模板字符串进行自定义处理,包括但...
前端XSS攻击——模板字面量(模板字符串)之模板标签的应用
a695993410的博客
06-17 1636
一.简介模板字面量(即模板字符串,MDN已更新为"模板字面量"的说法,此文以后都用“模板字面量”)ES6中引入了模板字面量来代替传统JS的输出模板,直接看代码最清楚吧模板字面量:&lt;div id="es6"&gt;&lt;/div&gt; &lt;script&gt; var es6 = document.querySelector('#es6'); var es6words = '我是es6...
XSS攻击
weixin_46015266的博客
10-16 270
XSS是什么 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSS。 一、XSS注入的方法: 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。 在内联的 JavaScript 中,拼接的数据突破了原本的限制(字
ES6中的模板字符串和新XSS Payload
weixin_33932129的博客
11-09 116
2019独角兽企业重金招聘Python工程师标准>>> ...
Xss跨站脚本攻击
qq_52108058的博客
11-12 991
因为XSS Payload的强大,也是为了使用的方便,有安全研究者将许多功能封装了起来做成了XSS平台。也是因为插入点一般都有长度限制,所以说xss一般攻击都需要外链。跨站脚本攻击,是代码注入的一种,它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。这里我们用http://xsscom.com/来演示。第二个是原本程序要执行的代码,拼接了用户输入的数据。目的是每隔一段时间访问网站,是否获取到cookie。,为了快速测试我们在所以输入框中都插入。提交后我们发现,在主题处是存在漏洞的。
详解JavaScript ES6中的模板字符串
12-10
5. **标签模板**:为了克服模板字符串的一些局限性,如不处理特殊字符转义和与国际化库的配合,ES6 引入了标签模板标签模板允许我们在模板字符串前添加一个函数,这个函数会在字符串拼接之前运行,可以用于自定义...
浅谈ES6 模板字符串的具体使用方法
11-26
ES6 模板字符串JavaScript语言的一个重要更新,它提供了一种更加方便和灵活的方式来创建和操作字符串模板字符串以反引号(`)包裹,允许我们在字符串中直接嵌入变量和表达式,大大简化了字符串拼接的操作。 在...
有效预防xss_防止xss攻击的有效方法
weixin_33343681的博客
12-24 2306
最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。问题描述:在页面上有个隐藏域:XML/HTML Code复制内容到剪贴板当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上如果此时action被用户恶意修改为:***"alert(1);"***此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。解决思路:该问题...
如何防止XSS攻击
qq_36752945的博客
07-20 7706
如何防止XSS攻击 XSS攻击(跨站点脚本攻击),意即黑客恶意篡改你网页的前端代码,在里面注入一些恶意的 html+javascript的脚本,在你的浏览器内运行,获取你的信息,进行一些恶意操作。 xxs攻击的两种方式 一、反射型攻击 黑客在钓鱼网站设置其URL链接,URL链接可为色情动图、诱惑小视频,此URL链接内嵌有其恶意脚本,你点后 ,恶意脚本被返回至你的浏览器里。此时脚本就会运行,一旦控制了浏览器可得到大量东西,浏览器内包含cookie,可利用cookie伪造你的用户登录的session 状态,去以
如何防止XSS攻击
半夏_2021的博客
05-05 6408
如何防止XSS攻击
[前端]防止xss攻击的最简单方法
热门推荐
jsh0123的博客
04-11 2万+
xss攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。(解释摘自百度百科) 1、将能被转换为html的输入内容
Java中的10种方法防止XSS攻击
最新发布
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
防御Xss攻击的几种方法
shadow_zed的博客
03-03 4294
防御Xss攻击的几种方法 关于xss是什么,以及它带来的危害,这里不多赘述 宁杀错,不放过。对用户输入的内容进行HTML编码 使用Spring提供的工具类org.springframework.web.util.HtmlUtils String result = HtmlUtils.htmlEscape("<script>alert('springboot中文社区');...
java 防止 XSS 攻击的常用方法总结
Geek_ymv的专栏
12-21 738
参考博客 http://ju.outofmemory.cn/entry/54043 http://www.yihaomen.com/article/java/409.htm import java.io.IOException; import java.util.ArrayList; import java.util.Arrays; import java.util.List; i
XSS攻击方法
qq_43299137的博客
05-26 199
采用DVWA中等级划分进行分析: Low级别 直接插入xss语句,如<script>alert('xss')</script> 网页没有任何防护 Medium级别 程序对<script>进行了过滤,所以只需改变大小写即可 如:<Script>alert('xss')</script> High级别 对一系列字符进行了过滤,只能使用<img src=1 onerror=alert(/xss/)> Impo.
Web攻击手段--XSS攻击及预防策略
sunhuiliang85的专栏
12-21 4492
XSS(Cross Site Scripting)攻击的全称是跨站脚本攻击,跨站脚本攻击的方式是恶意攻击者在网页中嵌入恶意脚本程序,当用户打开网页的时候脚本程序便在客户端执行,盗取客户的cookie及用户名和密码,下载执行病毒及木马程序,甚至获得客户端的admin权限等。 XSS攻击的方式 1.假设界面上存在一个输入框用以让用户输入数据,此时恶意用户在录入数据的时候输入的并不是用户名,而是一段
手把手教你防御 XSS 攻击
Maisu的博客
12-15 649
由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值