网上流行的JS HTMLDecode不安全

最新推荐文章于 2022-01-25 13:42:40 发布
最新推荐文章于 2022-01-25 13:42:40 发布
阅读量114 收藏
点赞数

网上很多文档提到一个JS利用DOM特性作HTMLDecode的方法:

function  HTMLDecode(strEncodeHTML)
{
     var  div  =  document.createElement( ' div ' );
    div.innerHTML  =  strEncodeHTML;
     return  div.innerText;
}

 

这个函数是不安全的,如果参数带有用户输入,就可能导致执行JS代码:

function  HTMLDecode(strEncodeHTML)
{
     var  div  =  document.createElement( ' div ' );
    div.innerHTML  =  strEncodeHTML;
     return  div.innerText;
}

HTMLDecode( " <img src=1 οnerrοr=alert(1) /> " );


有人很傻很天真的以为,这个没有被appendChild到dom树的元素,应该不会执行。

 

weixin_33674437
关注
javascript另类方法实现htmlencode()与htmldecode()函数实例分析
10-21
主要介绍了javascript另类方法实现htmlencode()与htmldecode()函数,结合实例形式分析了javascript字符编码与解码操作的相关技巧,需要的朋友可以参考下
javascript HTMLEncode HTMLDecode的完整实例(兼容ie和火狐)
10-29
这种方法不依赖于浏览器的内置转换器,而是使用JavaScript的正则表达式进行字符替换。通过正则表达式匹配HTML特殊字符(例如`, `>`, `&`, `"`和`'`),并将其转换为对应的HTML实体编码。这样可以实现简单的HTML编码...
JavaScript 实现 HTMLDecode
Scar的博客
03-24 1799
背景 最近公司有个格式整理的需求,需要将转义序列 \&#x4F60;\&#x597D; 转换为中文。 &# 是什么? HTML、XML 等 SGML 类语言的转义序列(escape sequence)。它们不是「编码」。 &#x4e2d;&#x56fd;<!--中国--> &#20013;&#22269;<!--中国--> 这种转义序列叫 numeric character reference(NCR)。 可以理解为 &amp
Javascript htmldecode
weixin_30725315的博客
01-05 125
// HtmlDecode http://lab.msdn.microsoft.com/annotations/htmldecode.js // client side version of the useful Server.HtmlDecode method // takes one string (encoded) and returns another (d...
javascript处理HTML的Encode(转码)和Decode(解码)总结
01-26 461
HTML的Encode(转码)和解码(Decode)在平时的开发中也是经常要处理的,在这里总结了使用javascript处理HTML的Encode(转码)和解码(Decode)的常用方式 一、用浏览器内部转换器实现转换 1.1.用浏览器内部转换器实现html转码   首先动态创建一个容器标签元素,如DIV,然后将要转换的字符串设置为这个元素的innerText(ie支持)或者...
JavaScript 的HTML转义方法 html_encode 和 html_decode
程序员写的技术 FAQ 和杂文
06-10 4729
<br/> = 以上尖括号等符号的手工转义:   代码   function html_encode(str)   {     var s = "";     if (str.length == 0) return "";     s = str.replace(/&/g, ">");     s = s.replace(/   s = s.replace
HtmlDecode.rar
03-24
而在这个名为"HtmlDecode.rar"的压缩包中,似乎包含了一个反编译的C#代码,以及用C++重写这两个功能的实现。 `HtmlDecode`方法的作用是将HTML实体转换为其原始字符。例如,"&"会被解码为"&","<"会变成","&...
ASP常用函数:HTMLDecode
10-31
### ASP常用函数: HTMLDecode详解 #### 一、引言 在Web开发中,为了确保网页的安全性和兼容性,通常会使用HTML实体编码来转义一些特殊字符。这些特殊字符包括但不限于`, `>`, `&`, `"`等,在HTML文档中如果不进行...
JShtmlEncode和htmlDecode
VFrank
10-17 4352
JShtmlEncode和htmlDecode htmlEncode : function(value){ return !value ? value : String(value).replace(/&amp;amp;/g, &quot;&amp;amp;amp;&quot;).replace(/&amp;gt;/g, &quot;&amp;amp;gt;&quot;).replace(/&amp;lt;
JS Html转义和反转义(html编码和解码)的实现与使用方法总结
11-20
本文实例讲述了JS Html转义和反转义(html编码和解码)的实现与使用方法。分享给大家供大家参考,具体如下: 1、JS实现html转义和反转义主要有两种方式: 1)、利用用浏览器内部转换器实现html转义; 2)、用正则表达式实现html转义; 2、封装的JS工具类: var HtmlUtil = { /*1.用浏览器内部转换器实现html编码(转义)*/ htmlEncode:function (html){ //1.首先动态创建一个容器标签元素,如DIV var temp = document.createElement ("div");
javascript处理HTML的Encode(转码)和Decode(解码)
Jopen的博客
06-12 1789
HTML的Encode(转码)和解码(Decode)在平时的开发中也是经常要处理的,在这里总结了使用javascript处理HTML的Encode(转码)和解码(Decode)的常用方式
javascript处理HTML的解码(Decode)的常用方式
weixin_33842328的博客
07-26 223
为什么80%的码农都做不了架构师?>>> ...
javascript处理HTML中Encode(转码)和Decode(解码)的方法
革命尚未成功同志还需努力的博客
12-26 5849
HTML的Encode(转码)和解码(Decode)在平时的开发中也是经常要处理的,在这里总结了使用javascript处理HTML的Encode(转码)和解码(Decode)的常用方式   一、用浏览器内部转换器实现转换   1.1.用浏览器内部转换器实现html转码     首先动态创建一个容器标签元素,如DIV,然后将要转换的字符串设置为这个元素的innerText(ie支持)或
JS实现HTML标签转义及反转义
爱写博客的小菜鸟的博客
01-25 3836
JS实现HTML标签转义及反转义
JavaScript实用代码片段集锦:字符串处理与转换
本文提供了一系列实用的JavaScript代码...它们涉及到字符串操作、URL处理和安全编码等多个方面,是JavaScript开发者的常用工具。在实际应用中,可以根据需要对这些代码进行适当的调整和优化,以适应不同的项目需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值