js对用户输入非法字符进行编解码预防xss

最新推荐文章于 2024-05-13 12:10:52 发布
最新推荐文章于 2024-05-13 12:10:52 发布
阅读量2.2k 收藏 1
点赞数 1
分类专栏: javaScript xss 文章标签: javascript xss


复制代码 
 1 var HtmlUtil = {
 2     /*1.用浏览器内部转换器实现html转码*/
 3     htmlEncode:function (html){
 4         //1.首先动态创建一个容器标签元素,如DIV
 5         var temp = document.createElement ("div");
 6         //2.然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持)
 7         (temp.textContent != undefined ) ? (temp.textContent = html) : (temp.innerText = html);
 8         //3.最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了
 9         var output = temp.innerHTML;
10         temp = null;
11         return output;
12     },
13     /*2.用浏览器内部转换器实现html解码*/
14     htmlDecode:function (text){
15         //1.首先动态创建一个容器标签元素,如DIV
16         var temp = document.createElement("div");
17         //2.然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持)
18         temp.innerHTML = text;
19         //3.最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。
20         var output = temp.innerText || temp.textContent;
21         temp = null;
22         return output;
23     },
24     /*3.用正则表达式实现html转码*/
25     htmlEncodeByRegExp:function (str){  
26          var s = "";
27          if(str.length == 0) return "";
28          s = str.replace(/&/g,"&");
29          s = s.replace(/</g,"&lt;");
30          s = s.replace(/>/g,"&gt;");
31          s = s.replace(/ /g,"&nbsp;");
32          s = s.replace(/\'/g,"&#39;");
33          s = s.replace(/\"/g,"&quot;");
34          return s;  
35    },
36    /*4.用正则表达式实现html解码*/
37    htmlDecodeByRegExp:function (str){  
38          var s = "";
39          if(str.length == 0) return "";
40          s = str.replace(/&amp;/g,"&");
41          s = s.replace(/&lt;/g,"<");
42          s = s.replace(/&gt;/g,">");
43          s = s.replace(/&nbsp;/g," ");
44          s = s.replace(/&#39;/g,"\'");
45          s = s.replace(/&quot;/g,"\"");
46          return s;  
47    }
48 };
复制代码
毅江
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
如何防御xssHTML编码和JS编码
weixin_42299862的博客
07-10 980
https://www.jianshu.com/p/c0dc4bbab8e8 <p>${content}</p> 如上述代码所示,在P标签中存在一个输出变量${content},浏览器解析的过程,首先是HTML解析,解析到P标签时,解析Content的内容,然后将其在页面显示出来。 <p><script>alert("实体XSS");</script></p> 如果我们把Content的内容换成上面内容,即script脚本,那么浏览
js[xss攻击和csrf攻击的原理以及防御措施]
墨水白云的博客
03-16 935
原理是利用受信任网站A的登录漏洞,危险网站B通过诱导拿到登录状态的Cookie对A网站进行访问,从而达到B网站人员获取用户在A网站的各种信息与相关api操作的目的。用户通过表单输入框等手段输入js脚本,在浏览器或者服务器运行起来从而起到盗用其他用户信息,注入广告等破坏页面结构的行为手段。防御的核心无非就是限制或者对用户输入的内容进行一些专项处理之后在保存或者返回。2.csrf本身是利用网站的登录漏洞攻击xss是提供js代码注入篡改网站攻击。2.在不登出A的情况下,访问危险网站B。
【网络安全 前端XSS防护】一文带你了解HTML的特殊字符转义及编码_xss特殊字符替换
最新发布
2401_84970385的博客
05-13 1047
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
(经典面试题!)用js统计用户输入字符串,求指定字符的索引及其出现的次数
一杯咖啡,一行代码
09-30 474
用户通过弹窗输入一段字符串,下面会弹出想要查找的字符,紧接着就会通过算法进行查找: 主要用到的算法如下: varArr=arr.indexOf(str); while(Arr!==-1){ alert('已查询到您想要的字符,它的索引为:'+Arr); count++; Arr=arr.indexOf(str,Arr+1); ...
JS字符串
一条大河
09-28 289
JS字符串 1, 声明字符串 var str1 = '字符串1'; var str2 = String('字符串2'); var str3 = new String('字符串3'); 2, length属性 返回字符串中字符的个数 str.length 使用场景: 验证输入用户名或密码长度的合法性; eg:见代码 3, 常用函数 ...
js控制输入字符串的个数(实例)
woallf的专栏
02-10 1006
转自:http://happysnail.org/blog/index.php/archives/433这是一个用js实现的控制输入字符串的个数的一个实例在留言板、签名等需要限制文字个数的地方可用。代码:显示:
XSS Encode
03-11
XSS Encode是针对这种攻击进行防御的一种策略,主要涉及对用户输入内容进行编码,防止其被浏览器误识别为可执行的脚本。 **XSS攻击类型** 1. **存储型XSS**:攻击者将恶意脚本存储在服务器上,当其他用户访问含有...
edu 后台xss1
08-08
1. 对所有用户输入进行严格的验证和过滤,避免特殊字符的出现。 2. 使用HTTP头部的Content-Security-Policy来限制浏览器只执行指定来源的脚本。 3. 对输出的内容进行适当的转义,例如HTML编码,以防止恶意脚本的执行...
XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
1. **输入验证**:对所有用户输入进行严格的验证和清理。 2. **输出编码**:对输出内容进行适当的编码,防止恶意脚本被执行。 3. **HTTP头部安全设置**:使用Content-Security-Policy等头部字段限制脚本的来源和...
XSS 小助手 V1.0 -XSS一定要用到的小工具必备
05-03
1. **输入验证**:对用户提交的数据进行严格的验证,拒绝非法字符和脚本。 2. **输出编码**:对所有用户可控制的输出内容进行适当的编码,如HTML实体编码。 3. **使用HTTP头部**:设置X-XSS-Protection和Content-...
Advanced xss
09-14
XSS 攻击主要利用了 Web 应用程序对用户输入数据处理不当的问题。当应用程序未能正确过滤或转义用户提交的数据时,攻击者就可以通过构造特殊的恶意代码来执行任意操作。 ##### 2.2 常见类型 XSS 攻击可以分为三种...
js中操作字符串的几种常见方法
qq_43552952的博客
01-03 762
1、字符串合并操作:“ + ” var iNum01 = 12; var iNum02 = 24; var sNum03 = '12'; var sTr = 'abc'; alert(iNum01+iNum02); //弹出36 alert(iNum01+sNum03); //弹出1212 数字和字符串相加等同于字符串相加 alert(...
变量以及字符文件编码以及用户输入输出
weixin_45837954的博客
11-12 114
变量 变量是为了存储程序运算过程中的一些中间结果,为了方便日后调用 Variables变量 are used to store保存、储存 information信息 to be referenced被日后调用 and manipulated操作或更改 in a computer program程序. They also并且还 provide提供 a way方式 of labeling标记 d...
XSS原理及其预防
qq_gfq的博客
03-22 504
0x00 什么是XSSCSS(Cross Site Scripting,跨站脚本攻击),为了和层叠样式表(Cascading Style Sheet,CSS)区分,所以改为叫XSSXSS攻击能让攻击者在受害者的浏览器中执行脚本,并劫持用户会话、破坏网络或将用户重定向到其他恶意的站点。0x01 XSS原理当应用程序的网页中包含不可信的,未经恰当验证或转义的数据时,或者使用可以创建HTML或Java...
js解决汉字乱码问题(加码,解码)
fyc2008fyc的专栏
04-23 453
///字符串加码 function encode(strIn) {if(strIn ==undefined)return ""; var intLen=strIn.length; var strOut=""; var strTemp; var strFlag=""; for(var i=0;i255 || strTemp 57 && strTemp < 65) || (st...
【前端开发必知】HTML特殊字符转义及编码
等风来
08-25 9733
HTML 中,有一些特殊字符不可直接使用,需要使用转义字符或实体编码来表示。这是为了避免这些字符与 HTML 标签和语法产生冲突。同时,也是为了防范前端XSS。 例如,有些特殊字符(如 < 和 >)作为HTML标签的一部分,要是没有被特殊处理可能被恶意XSSHTML的特殊字符转义及编码在防范跨站脚本攻击(Cross-Site Scripting, XSS)方面起到关键作用。XSS是一种常见的安全漏洞,攻击者通过在受信任网站上插入恶意脚本,使其在用户浏览器中执行。
js 正则表达式判断非法字符 常用正则表达式
cillent_boy的专栏
03-11 5996
js 正则表达式匹配非法字符 示例(此示例验证通过) var pat=new RegExp("[^a-zA-Z0-9\_\u4e00-\u9fa5]","i"); var strTest = $("#testId").val(); if(pat.test(strTest)==true) { showMess("项目名称中含有非法字符...
关于将URL中的特殊字符进行转码和解码
lettuce_的博客
03-09 9945
当前开发中,遇到特殊情况: 使用url进行跨页(跨域)面传值的时候,会出现某些带特殊字符的url,在浏览器上被处理了,例如: 后端传给前端的跳转路径: http://127.0.0.1:8088/harbor/sign-in?userName=admin&userPassword=1Qaz2wsx# 浏览器跳转时浏览器地址栏的url变成: http://127.0.0.1:80...
XSS跨站脚本检测,如何检测是否对用户输入进行过滤和验证
06-09
1. 查看网站前端代码:查看网站前端代码,看是否对用户输入进行了过滤和验证。例如,是否在输入框中使用了JavaScript的escape()或encodeURI()函数进行编码,或者使用了HTML的转义字符将特殊字符转义成文本。 2. ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值