js用户输入进行转义、反转义,防XSS攻击

最新推荐文章于 2024-06-03 08:26:45 发布
最新推荐文章于 2024-06-03 08:26:45 发布
阅读量1.3k 收藏 1
点赞数 1
文章标签: javascript xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53066920/article/details/127154185
版权

正转义:

//HTML转义
function HTMLEncode(html) {
    var temp = document.createElement("div");
    (temp.textContent != null) ? (temp.textContent = html) : (temp.innerText = html);
    return  temp.innerHTML;
}

测试及结果:

var test= ""><script>alert('XSS');</script>";
console.log(HTMLEncode(test));//"&gt;&lt;script&gt;alert('XSS');&lt;/script&gt;

反转义:

//HTML反转义
function HTMLDecode(text) { 
    var temp = document.createElement("div"); 
    temp.innerHTML = text; 
    var output = temp.innerText || temp.textContent; 
    temp = null; 
    return output; 
}

测试及结果:

var test= "&gt;&lt;script&gt;alert('XSS');&lt;/script&gt";
console.log( HTMLEncode(test)); //"><script>alert('XSS');</script>

攀小黑
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
前端安全之-XSS(跨站脚本攻击)详解
wb199811的博客
08-17 7870
xss跨站脚本攻击一.XSS的基本概念二、XSS攻击的主要途径三、XSS的分类射型XSS存储型XSSDOM XSS范措施利用 CSP利用 HttpOnly 一.XSS的基本概念 XSS又叫CSS (Cross Site Script) ,为了和css(层叠样式表)区分,我们通常称它为(xss)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 xss是一种发生在web前端的漏洞,所以其危害的对象也主要
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
js转义html的特殊字符_前端必须转义场景
weixin_39833469的博客
11-29 873
出于这样或那样的原因,我们在传输、存储、展现字符串时需要进行转义操作,止不可控的事情发生。下面我将分三处场景描述,有的里边确实有坑,希望大家看完后都有所收获。欢迎积极留言补充。场景1:使用URL  前端开发中,我们经常会使用到URL,比如博客查询的表单action:"http://eastme.me?q=前端"、Ajax发送GetPost请求、跳转至网址:"http://www.eastme.m...
JS加密解密/XSS
最新发布
mxd01848的博客
06-03 1090
总之,XSS 攻击需要从多个角度进行考虑和处理,包括输入过滤、输出编码以及使用可靠的安全库和框架。通过多层次的御策略,可以有效地提高应用程序的安全性。这段代码的目的是对用户输入进行过滤,以止跨站脚本(XSS攻击。让我们详细拆解这段代码,并分析其工作原理和有效性。怎么隐藏你的xss保护逻辑呢,使用在线js加解密工具对代码进行保护。是一个用于过滤 XSS 攻击的函数。函数进行过滤,然后返回过滤后的结果。进行解码,并将其传递给。最终返回过滤后的字符串。,表示需要过滤的输入。,则不进行后续操作。
Js特殊字符转义之htmlEscape()方法
weixin_30765505的博客
12-01 817
为了XSS攻击,常常需要将用户输入的特殊字符进行转义,原生js貌似还没有直接对其专业的方法,最近再读Js高级程序设计的时候刚好看到,碰巧项目中也刚好需要使用次方法,于是就之家搬来用了。 网上关于转义的方法很多,其实原理基本一样,再次就把树上的代码直接搬来分享给大家(待更新。。。。) /*传入html字符串源码即可*/ function htmlEscape(text){ return...
前端js实现字符转义转义
qq_42961150的博客
07-12 7751
XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中......
原生js实现 转义&还原HTML
在热爱技术的路上一直前行。
04-29 2107
代码 // 使用js实现 转义&还原HTML const htmlStr = '<h1 title="123">这是一个h1标题<span>abc&nbsp;</span></h1>'; // 定义转义html的方法 function htmlEscape(htmlStr) { return htmlStr.replace(/<|>|"|&/g, match =>{ switch(matc
前端页面JS注入问题,前端XSS安全问题解决办法
热门推荐
41981DC的博客
09-24 3万+
在页面中增加 JS 校验,对特殊符号进行替换,用户输入恶意代码导致 JS 注入问题。 在 web 开发中,对用户输入的内容做校验是必不可少的环节,不管是通过正则表达式对用户输入进行校验,还是通过对特殊符号进行转义,均可达到目的。通过正则表达式校验,可能会导致用户体验差一点(因为用户不能自由输入~~),本文通过对 特殊符号进行转义 的方法来演示。 示例 自定义添加角色,包括角色名称、角色...
xss输入前对输入内容进行处理和跨域浏览器设置
weixin_57246351的博客
09-26 386
JS实现HTML标签转义转义
10-20
在JavaScript(JS)中,处理HTML标签的转义转义是常见的需求,尤其是在处理用户输入数据并展示在页面上时。HTML转义是将特殊字符转换为它们的等价HTML实体,以止它们被浏览器解析为HTML标签或特殊字符。而...
在JavaScript中对HTML进行转义详解
11-22
在JavaScript中,对HTML进行转义操作主要是为了处理从服务器端获取的数据,这些数据可能包含...因此,在实际开发中,应结合其他安全措施,如使用服务器端的模板引擎进行转义,或者在客户端进行适当的输入验证和清洗。
springboot2.x使用JsoupXSS攻击的实现
10-15
为了范这类攻击,开发者需要对用户输入的数据进行严格的过滤和转义处理。 在SpringBoot 2.x中,可以借助Jsoup库来帮助实现这一目标。Jsoup是一款强大的Java HTML解析器,它提供了丰富的API用于解析、操作和清洁...
javascript对HTML字符转义转义
10-17
在实际项目中,处理用户输入时,通常需要对输入进行转义,以XSS攻击。例如,获取用户在`<input>`字段的输入后,可以使用正则表达式进行转义。在展示数据时,如果数据是从服务器获取的HTML格式,可能需要先进行...
XSS攻击和SQL注入XssFilter
07-23
对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取...
JavaScript安全性:XSS、CSRF和CORS等常见的安全漏洞及其解决方案
tyxjolin的专栏
05-08 4122
开发人员应该采取适当的措施来保护他们的应用程序免受这些漏洞的影响,包括过滤和验证用户输入、使用安全的JavaScript库和框架、使用CSRF令牌和配置CORS等。本文将介绍几种常见的JavaScript安全漏洞,包括XSS、CSRF和CORS,并提供解决方案以保护您的应用程序免受这些漏洞的影响。例如,一个攻击者可能会发送一个包含修改用户密码的请求,而这个请求看起来是来自用户自己的浏览器,因此网站可能会对请求进行处理并修改用户密码。由于浏览器的同源策略,一般情况下,跨域请求是不允许的。
xss 攻击,恶意用户输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义...
weixin_34405354的博客
07-29 768
xss 攻击,恶意用户输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义 XSS攻击XSS攻击造成的危害之所以会发生,是因为用户输入变成了可执行的代码,因此我们要对用户输入进行HTML转义处理,将其中的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“&lt;”,“>”转义后为“&g...
xss
p525525的博客
11-22 350
以上是xss御,有需要可以看一下
页面输出时用 js 转义替换字符串中的 script 标签,XSS
haojiliang
02-06 4372
function stringEncode(str){ var div=document.createElement('div'); if(div.innerText){ div.innerText=str; }else{ div.textContent=str; } return div.i...
Javascript 输入xss注入 以及
Johnny Liao的博客
12-02 9189
注入 类似于sql注入,在输入内容上动手脚,然后造成标签闭合的现象,再写入恶意 的js; 例如: &lt;input type="text" value="$var"&gt; 输入的内容如果是 " onclick = "javascript_function()" &gt; 在遇到有字符限制的情况下,可以将两个input之间的内容注释掉, 再在之间构建恶意的js &lt;in...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值