jqgrid跨站脚本漏洞解决

最新推荐文章于 2024-07-12 16:27:40 发布
最新推荐文章于 2024-07-12 16:27:40 发布
阅读量440 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/chendeming/p/8365402.html
版权

问题描述:

  jqgrid版本4.5.2

  用户输入值为<script>alert(123)</script>时,jqgrid默认的展示方法会将字符串转换为dom元素,于是就产生了这样的情况

  

  一些不怀好意的人就会通过这些方法对项目发起攻击。

 

如下提供两种修改方案:

  假设var strData = "<script>alert(123)</script>";是原数据

  (1)使用jqgrid的数据格式化方法(colModel.foramter)修改源数据,去掉特殊字符(推荐)

     {name: 'NAME', index: 'name',  hidden: false, formatter: formateHtml},

function formatHtml(cellValue,option,cell){
	if(undefined != cellValue && null != cellValue){
		return escapeHTML(cellValue);
	}
	return "-";
}

function escapeHTML(a){
	a = "" + a;
    return a.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">").replace(/"/g, """).replace(/'/g, "'");;
}

  

  (2)修改jqgrid的源代码,在jqgrid调用formatter方法之前将数据格式化

    搜索

      var h = a.p.colModel[e];

    这句代码之后有一个

      if (h.formatter !== void 0) {

    在它们之间加上   

if("string" === typeof d){
	d = "" + d;
	d = d.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">").replace(/"/g, """).replace(/'/g, "'");;
}

  

更多内容扩展

  https://www.cnblogs.com/phpstudy2015-6/p/6767032.html

转载于:https://www.cnblogs.com/chendeming/p/8365402.html

weixin_30641999
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨站脚本攻击漏洞怎么修复_十大常见web漏洞——跨站脚本漏洞
weixin_39863155的博客
12-14 4032
跨站脚本漏洞(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站也产生了较严重的...
jqGrid破解版
06-25
jqgrid破解版 完整 使用一万年都OK的
漏洞解决方案-跨站脚本攻击
smart的博客
08-11 6054
漏洞解决方案-跨站脚本攻击跨站脚本攻击1.风险分析2.详细描述3.解决方案 跨站脚本攻击 1.风险分析 跨站脚本可能造成用户信息泄露(包括我行内部行员的用户名、密码泄露),配置更改,cookie窃取等造成危害,甚至能够用于对Web服务器进行DOS攻击。黑客也可利用获取的用户信息对我行系统进行进一步攻击。 2.详细描述 跨站脚本发生在以下两种情况: 数据通过不可靠的源进入Web application,大多数情况下是web request。 包含在动态内容中的数据在没有经过安全检测就发送给网络用户。
JQGrid 破解的Trirand.Web.dll 无有效期
09-17
可以无限期使用JQGrid 强力破解
jqgrid 二次封装上传 jqgrid 5.0以上版本
04-25
jqgrid二次封装,快速加载grid表格,不改变原有的使用习惯,增加一些默认处理逻辑 var grid = $.jqGrid.init({ url: "/component/config/select.html", add: {content:"/admin/component/config/configEdit.jsp",area: ['860px', '540px'],title:"添加系统组件配置"}, edit: {content:"/component/config/edit.html",area: ['860px', '540px'],title:"编辑系统组件配置"}, del: "/component/config/delete.html", layer:{add:true,edit:true}, multiselect: true, rownumbers: true,//显示序号 colModel: [ {name:'id',index:'id',label:"ID", width:60,key: true,hidden: true}, {name:'name',index:'name', label:"名称",width:150,sortable:false}, {name:'class',index:'class',label:"类路径",width:90,sortable:true}, {name:'type',index:'type',label:"类型",width:60,sortable:true,editable: true,"editoptions":{value:selectTypeData['B4D84A86E42842188FB2658D6A9092A9'].grid},"formatter":'select'}, {name:'url',index:'url', label:"编辑页面路径",width:70}, {name:'enterprise',index:'enterprise', label:"企业",width:60}, {name:'username',index:'username', label:"创建人",width:60}, {name:'time',index:'time',label:"创建时间",width:90,sortable:true}, {name:'description',index:'description',label:"描述"} ] }); 按钮实现多种处理逻辑具体请看源码
jqGrid翻页时数据选中丢失问题的解决办法
08-31
总之,解决jqGrid翻页时数据选中丢失的问题需要我们手动跟踪和管理用户的选择状态。通过监听jqGrid的事件并结合自定义数据结构,我们可以确保用户的选择能够在页面间保持一致,提供更好的用户体验。对于使用jqGrid的...
jqGrid5.5 版本
03-26
总的来说,jqGrid5.5版本是一个功能全面且高度可定制的数据网格解决方案,适合开发复杂的Web应用程序,特别是在处理大量数据和需要复杂用户交互的场景中。学习jqGrid5.5不仅可以提高数据展示和管理的效率,还能提升...
jqGrid jQuery 表格插件测试代码
12-01
jqGrid是一款基于jQuery的表格插件,用于展示和操作数据,提供丰富的功能,如分页、排序、筛选、编辑等。在上述代码中,我们看到了一个使用jqGrid创建的本地数据表格实例。以下是对该代码的详细解释: 1. **初始化...
解决vue中无法动态修改jqgrid组件 url地址的问题
08-27
总结起来,解决Vue中动态修改jqGrid组件url地址的问题,关键在于利用jqGrid自身的API进行参数更新,并触发刷新操作,而非直接依赖Vue的数据绑定。这样可以确保jqGrid能够正确响应Vue实例中数据的变化。同时,确保...
jqgrid开源权限
10-09
jqgrid开源权限jqgrid开源权限jqgrid开源权限jqgrid开源权限jqgrid开源权限jqgrid开源权限jqgrid开源权限jqgrid开源权限jqgrid开源权限jqgrid开源权限jqgrid开源权限
jqGrid-5.1.0
01-18
jqGrid-5.1.0 包,破解版。
jqGrid(版本:5.1.0)
11-08
很好的第三方控件,就是开始不太好上手,希望大神多出些完整的实力和文档。官方网址:http://www.trirand.com。
JQuery在XSS攻击中的表现
甘焕的博客
11-29 1万+
在前端的XSS攻击中,直接运用innerHTML属性赋值,脚本绝不会被解析,代码如下:var html = '<script>alert(100)</script>'; // 里面的脚本绝不会执行,不会弹出100信息 document.body.innerHTML = html;1. $.html被轻松注入如果改用JQuery来实现,则出现了令人惊讶的结果,JS代码被轻松注入,代码如下:var h
jQuery 的“原型污染”安全漏洞
weixin_33946605的博客
04-22 433
百度智能云·域名服务,.com新用户首购仅需25元 前两周发布的 jQuery 3.4.0 除了常规更新外,更...
使用jqGrid问题解决方法
ddxkjddx的专栏
03-10 1754
<br /> <br />今天使用jqGrid控件做展示数据时,遇到一个非常奇怪的问题,特把这个问题记载下来,为免以后再犯相同错误时,有个参考,或许也对网友有所帮助。<br />jqGrid是我常用的一个网络控件,功能十分强大。<br />今天打算利用jqGrid展示一个主表从,本来效果图类似如下:<br /><br />可结果没有如我所愿,出现了如下效果图:<br /><br />明细表没能显示出来。<br />这个问题出现后,真让我纳闷了一天,jqGrid这种功能在几个项目中我都使用到,熟路轻车了,可这
解决jquery版本过低引发的XSS跨站安全漏洞
热门推荐
kang1011的博客
11-13 1万+
解决jquery版本过低引发的安全漏洞 测试网站是否存在此XSS跨站漏洞: 以google浏览器为例,打开要测试的网站,在Console窗口输入: $.fn.jquery 回车查看版本号 $(“element[attribute=’<img src=123123 οnerrοr=alert(123)>’”); 回车之后会出现弹窗,说明存在XSS跨站漏洞 漏洞原因: 1.x系列版本等于或低于1.12的jQuery,和2.x系列版本等于或低于2.2的jQuery,过滤用户输入数据所使用的
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring Boot、Spring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
更新商品前端接口编写
最新发布
weixin_55639995的博客
07-12 345
那么在vue运行的时候,会加载所有的ref属性特征的元素还有组件。标签中ref的作用就是将 该组件注册到vue对象的ref属性中。使用插槽,那个scope就是代表着一行的数据。然后里面的选项遍历的是 js定义的数据。如果文字显示过多可以使用 文本隐藏显示。表单绑定还有表单数据的绑定。数据绑定使用的表单绑定状态。写form表单然后封装数据。状态的选择使用的是选择框。副标题使用的是文本域。状态页面使用,下拉框。富文本选择器使用组件。使用后端枚举类型去写。
jqgrid学习笔记
08-07
总的来说,学习 jqGrid 需要掌握其基本的安装和使用方法,理解表格结构和 API 的使用,学会定制化设置和解决常见问题。通过不断的练习和实践,可以逐渐掌握 jqGrid 的使用技巧,提高数据表格的交互性和美观性,为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值