防止html注入

最新推荐文章于 2022-06-06 15:48:31 发布
最新推荐文章于 2022-06-06 15:48:31 发布
阅读量4.2k 收藏 3
点赞数
分类专栏: 开发经验 文章标签: html注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxuewei111/article/details/51671471
版权

1.防止html注入

背景:提交订单时测试数据通常会有html标签,例如名称字段:<html>名称</html>,这样对于查询再显示出来会有问题,因此需要对html代码进行转义

(1)后台转义

String s = HtmlUtils.htmlEscape("<div>hello world</div><p> </p>");  //转义
System.out.println(s);  
String s2 = HtmlUtils.htmlUnescape(s);  //反转义
System.out.println(s2);
输出结果 
<div>hello world</div><p>&nbsp;</p>  
  
<div>hello world</div><p> </p>

(2)前台转义

var HTMLEncode=function(input){
    var converter=document.createElement('DIV');
    converter.innerText=input;
    var output=converter.innerHTML;
    converter=null;
    return output;
}


调用以上function 
HTMLEncode("字段值")

注:转以后存到数据库,取出事一般不需要反转义,jsp会自动转义并显示

dawei_wxw
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js处理网页编辑器转义、去除转义、去除HTML标签的正则
11-21
富文本编辑器生成的HTML标签,进行转义,然后写入数据库,防止脚本注入: function htmlEncode(value){   return $('<div>').text(value).html(); } 1、从数据库拿出的转义后的HTML标签内容,先得去除转义,然后再去除HTML标签,是生成缩略文字。 /*移除HTML标签代码*/ function removeHTMLTag(str) { str = str.replace(/<\/?[^>]*>/g,''); //去除HTML tag str = str.replace(/[ | ]*\n/g,'\n'); /
浅谈html转义及防止javascript注入攻击的方法
10-20
HTML转义与防止JavaScript注入攻击是网络安全中的重要概念,尤其是在Web开发中。本文将详细讲解这两个主题,以帮助开发者理解它们的重要性并采取必要的防护措施。 **HTML转义** HTML转义是一种将特殊字符转换为...
正则防止html注入,浅谈html转义及防止javascript注入攻击的方法
weixin_31689491的博客
05-30 615
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。一:什么是html转义?html转义是将特殊字符或html标签转换为与之对应的字符。...
HTML赋值,防止外部注入方法!
weixin_30722589的博客
11-14 145
对于HTML中项目文字的内容设定可能有一下3中方式:$(newOccurPos).text(jsonArray["table_lstRow"][rowData].OccurPos);$(newOccurPos).html(jsonArray["table_lstRow"][rowData].OccurPos);newOccurPos.innerHTML=jsonArray["table_lst...
sql注入问题
坤健的博客
08-22 259
mybatis中的#和$的区别: 1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id".  2、$将传入的数据直接显示生成在sql中。 如:where us...
校验正则、表单验证、及防脚本注入(一)
sinat_26172101的博客
08-26 3005
一、校验数字的表达式 1 数字:^[0-9]*$ 2 n位的数字:^\d{n}$ 3 至少n位的数字:^\d{n,}$ 4 m-n位的数字:^\d{m,n}$ 5 零和非零开头的数字:^(0|[1-9][0-9]*)$ 6 非零开头的最多带两位小数的数字:^([1-9][0-9]*)+(.[0-9]{1,2})?$ 7 带1-2位小数的正数或负数:^(\-)?\d+(\.
防止html脚本注入的脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
django框架防止XSS注入的方法分析
09-19
Django框架作为Python的一款强大Web开发框架,提供了多种手段来帮助开发者防止XSS注入。 首先,Django的模板引擎默认开启HTML转义功能。这意味着当变量在模板中被渲染时,例如`{{ comment }}`,任何HTML特殊字符如`...
浅析php过滤html字符串,防止SQL注入的方法
10-27
本篇文章是对php中过滤html字符串,防止SQL注入的方法进行了详细的分析介绍,需要的朋友参考下
防止MySQL注入HTML表单滥用的PHP程序
10-30
据悉,如果表单无担保,MySQL形式的恶意代码注入将攻击网站。HTML表单如下拉菜单,搜索框和复选框都容易成为这类型侵入的切入点。本文将解释所发生的这种攻击,以及如何防止它。已知的安全事项和背景。
正则防止html注入,正则表达式匹配html 过滤非法字符
weixin_39896617的博客
05-30 271
正则表达式匹配html 过滤非法字符匹配一个html标签,匹配table如下:[ss]*或[ss]*?以上两个表达式,一个加了"?"和一个却不加"?",那么这有什么区别呢?我们知道"?"在正则表达式里是一个通配符:匹配前面的子表达式零次或一次,或指明一个非贪婪限定符。在这里,通过测试,我们得出这样的结论:在不加"?"的情况下,在匹配下面一段内容的时候:这是第一个table我不是table里的内容这...
如何防止html注入
壁花girl的博客
11-22 5318
在编写代码中,如何防止html注入?我们可以把输入的html便签转换为空字符串 var content=$("#content").val(); //防止html注入,标签转空字符串 var content1=content.replace(/]+?>/g,''); 也可以把html标签直接转码 //HTML标签转码 function html2Escape(sHtml)
html注入 绕过域名检查,HTML注入:利用HTML标签绕过CSP
weixin_35683330的博客
06-04 220
先让我们看看如下这个web应用示例:content="script−src 'nonce−...' 'unsafe−eval'">Hello World! 1 + 1 = {{ 1 + 1 }}Your search is let template = document.getElementById('template');template_target.innerHTML = templa...
怎么避免输出的字符被html编码华,html中文乱码怎么处理怎么造成如何避免中文乱码...
ぃ妖气ぅ的博客
06-19 173
html中文乱码一般都是由于编码不一致导致,一般是代码声明或者浏览器默认的编码与文件保存的实际编码不一致造成的,解决的方法就是要代码中声明的代码要和文件保存的编码一致,这样中文就不会出现乱码的现象了。工具原料:编辑器、浏览器1、首先在html代码中声明字符集即编码,意思就是告诉浏览器以什么编码来解析本文件,代码如下:!a href=https://www.baidu.com/s?wd=DOCTYP...
文本输入,js防注入,识别网址,清除富文本html,修改富文本图片样式
qq_40591925的博客
06-06 403
文本输入,js防注入,识别网址
spring mvc数据绑定时通过去除html标签防止js注入
勇敢向前努力努力
11-05 715
现在做的项目之前没有考虑到js注入的问题,现在想通过在spring对数据进行绑定时,去除html标签来在后端防止js注入,首先先研读它的源码,我们大部分controller都是扩展MultiActionController这个类,用到的是bind(HttpServletRequest request, Object command)这个方法,它是通过调用createBinder方法创建Servle
Web Hacking 101 中文版 五、HTML 注入
热门推荐
龙哥盟
03-17 4万+
五、HTML 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述超文本标记语言(HTML注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 HTML 引起的,通常通过一些之后会呈现在页面的表单输入。 这个
java防止html注入_JAVA防止JS html 注入
weixin_39554170的博客
02-16 378
public class HtmlEncode {public static String htmlEncode(String string) {if(null == string || "".equals(string))return null;else{String result = string;result = result.replaceAll("&", "&");res...
JAVA防止JS html 注入
海浪博客|技术|游戏|生活|随心
03-21 6699
public class HtmlEncode { public static String htmlEncode(String string) { if(null == string || "".equals(string)) return null; else{ String result = string; result = result.replaceAl
java 防html注入
最新发布
06-08
防止 HTML 注入,可以使用 Java 提供的 org.owasp.encoder.Encode 类。该类提供了一些静态方法,可以对输入的文本进行 HTML 编码,从而防止 HTML 注入攻击。 下面是一个例子,演示如何使用 Encode 类对输入的文本进行 HTML 编码: ```java import org.owasp.encoder.Encode; String input = "<script>alert('Hello, world!');</script>"; String encoded = Encode.forHtml(input); System.out.println(encoded); ``` 在上面的例子中,输入的文本包含一个 JavaScript 脚本,用于弹出一个提示框。使用 Encode.forHtml 方法对该文本进行编码后,得到的输出是: ```html <script>alert('Hello, world!');</script> ``` 可以看到,所有的 HTML 特殊字符都被转义成了相应的实体,从而防止HTML 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值