防止基本的XSS攻击 滤掉HTML标签

最新推荐文章于 2024-04-01 07:30:00 发布
最新推荐文章于 2024-04-01 07:30:00 发布
阅读量638 收藏
点赞数
文章标签: c# javascript 前端 ViewUI
原文链接:http://www.cnblogs.com/yhdsir/p/4648480.html
版权 
/**
*    防止基本的XSS攻击 滤掉HTML标签
*    将HTML的特殊字符转换为了HTML实体    htmlentities
*    将#和%转换为他们对应的实体符号
*    加上了$length参数来限制提交的数据的最大长度
*/
function transform_HTML($string, $length = null) {
  // Helps prevent XSS attacks

  // Remove dead space.
  $string = trim($string);

  // Prevent potential Unicode codec problems.
  $string = utf8_decode($string);

  // HTMLize HTML-specific characters.
  $string = htmlentities($string, ENT_NOQUOTES);
  $string = str_replace("#", "#", $string);
  $string = str_replace("%", "%", $string);
  $length = intval($length);
  if ($length > 0) {
    $string = substr($string, 0, $length);
  }
  return $string;
}
/* 
// eg:
$string = " &gt;< > <a>&lt; \n /n \. \\ \ %22%3e %3c%53%43%52%49%5 0%54%3e%44%6f%73%6f%6d%65%74%68%6 9%6e%67%6d%61%6c%69%63%69%6 f%75%73%3c%2f%53%43%52%49%50%54%3e";
echo $string;
echo '<br>';
echo transform_HTML($string);

*/

/*

输出 $string:

>< > < /n \. \ \ %22%3e %3c%53%43%52%49%5 0%54%3e%44%6f%73%6f%6d%65##%74%68%6 9%6e%67%6d%61%6c%69%63%69%6 f%75%73%3c%2f%53%43%52%49%50%54%3e

输出 transform_HTML($string):

&gt;< > <a>&lt; /n \. \ \ %22%3e %3c%53%43%52%49%5 0%54%3e%44%6f%73%6f%6d%65##%74%68%6 9%6e%67%6d%61%6c%69%63%69%6 f%75%73%3c%2f%53%43%52%49%50%54%3e

*/

 

转载于:https://www.cnblogs.com/yhdsir/p/4648480.html

weixin_34185512
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java 中 过Html标签
12-13
Java 中 过Html标签
java 去除html中img_JAVA去除HTML标签
weixin_39963853的博客
02-13 543
public static String delHTMLTag(String htmlStr){String regEx_script="]*?>[\\s\\S]*?"; //定义script的正则表达式String regEx_style="]*?>[\\s\\S]*?"; //定义style的正则表达式String regEx_html="]+>"; //定义HTML标签的正则表达式Patte...
前端xss攻击——规避innerHtml标签节点及属性
最新发布
编程知识分享,主打前端
04-01 1万+
大家好,我是yma16,本文分享xss攻击——规避innerHtmlscript等动态js节点。xss攻击XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取用户的敏感信息,如登录凭据、个人信息等。存储型XSS攻击者将恶意脚本代码存储到目标网站的数据库中,当用户访问含有恶意代码的页面时,代码会从数据库中被提取并执行。
从字符串中删除HTML标签
asdfgh0077的博客
02-08 1661
是否有从Java字符串中删除HTML的好方法? 一个简单的正则表达式 replaceAll("\\<.*?>","") 可以使用,但&amp; 不会正确转换,两
# 防止xss攻击,过script标签,获取出标签外的内容
weixin_30394633的博客
03-06 979
from bs4 import BeautifulSoups = '<h1>123</h1> <span>456<span>'soup = BeautifulSoup(s,'html.parser')print(soup.text) # 结果 123 456 # 构建摘要数据,获取标签字符串的文本前150个符号 soup=Bea...
HTML 清理(逃逸)对抗 XSS 攻击
allway2的博客
07-25 1086
在上面的例子中,被“”包围的“script”标签被清理了。它是一个HTML标签,在净化处理之前作为脚本标签运行,但在净化处理之后,“”被替换为字符串“”,因此它们显示在浏览器。通常,通常会指定“ENT_QUOTES”,它不仅会过“”,还会过“'(单引号)”和“”(双引号)。在上述函数“htmlentities”中,不仅“”,而且“”(双引号)和“&”分别被替换为不同的字符串“"我介绍了如何将“”替换为“<......
预防xss攻击,过标签.js
04-01
预防xss攻击,过标签.js
xss根据白名单过HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的...
js-xss:使用白名单指定的配置对不受信任HTML进行清理(以防止XSS
02-27
xss是用于过用户输入以防止XSS攻击的模块。 ( ) 项目主页: : 在线尝试: : 特征 指定HTML标记及其白名单允许的属性 使用自定义功能处理所有标签或属性。 参考 基准(仅供参考) xss模块:22.53 MB / s ...
第十三节 利用CSS特性绕过XSS-01
09-15
为了防止XSS攻击,很多网站都部署了XSS机制。但是,攻击者可以利用CSS特性来绕过XSS机制,在今天的课程中,我们将为大家介绍如何利用CSS特性绕过XSSXSS漏洞发现 在寻找XSS漏洞时,攻击者需要构造...
xss html标签,BeautifulSoup模块过html标签,只拿文本内容(处理XSS攻击)
weixin_29305337的博客
06-27 516
from bs4 import BeautifulSoup#kindeditordef kindeditor(request):s = '''默认值: false'''bs = BeautifulSoup(s,"html.parser")print(bs.text)return render(request,"KindEditor.html")结果:只获取到了 默认值: falses = ''...
防止存储式XSS攻击HTML
勤学、勤思
05-25 372
防止存储式XSS攻击HTML package net.sf.xsshtmlfilter; import java.util.ArrayList; import java.util.Collections; import java.util.HashMap; import java.util.List; import java.util.Map; import java.util.concurrent.ConcurrentHashMap; import java.util.concurre..
AntiXSS - 支持Html同时防止XSS攻击
weixin_33873846的博客
06-24 226
跨站脚本攻击XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。但是如果想用户输入支持一些格式,怎么办?一种办法就是很多论坛采用的BB Code的方法。使用特定的标签代替一些格式。比如:[B]表示粗体,等等。但是,BB Code这种形式并不被广泛接受,它的表现力实在太差了,而且并不是标准...
关于html转成jsp页面,样式丢失问题
qq_35979787的博客
05-24 9050
在前端编写完页面后,后台程序员需要把html页面转成jsp页面,有时候会出现样式丢失。我百度了一下,发现大多数都是表头配错或者路径了。 html转成jsp路径没有变,还出现样式丢失,那么可能是web.xml配置中对所有路径进行了拦截,如下           SpringMVC           org.springframework.web.servlet.DispatcherSer
利用filter 过html标签
dsp_daiyujie的专栏
08-14 3539
web.xml配置文件: HtmlFilter com.itheima.filter.HtmlFilter HtmlFilter /* java代码: public class HtmlFilter implements Filter { public void init(FilterConfig filterConfig) throw
SpringBoot 使用Filter 解决Xss攻击 HTML标签转义
binglong180
07-03 2835
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XSSFilter import javax.servlet.*; import javax.servlet.htt.
根据白名单过 HTML(防止 XSS 攻击)
weixin_34400525的博客
02-01 1925
https://github.com/leizongmin/js-xss/blob/master/README.zh.md 根据白名单过 HTML(防止 XSS 攻击) xss是一个用于对用户输入的内容进行过,以避免遭受 XSS 攻击的模块(什么是 XSS 攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、格式控制相关的 HTML 的场景,xss模块通过白名单来控制允许...
Bypass xss的测试方法
中华传奇
07-27 497
0x00 背景 本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss的部分,前面有根据WAF特征确定是哪个WAF的测试方法给略过了,重点来看一下后面绕xss的一些基本的测试流程,虽说是绕WAF的,但这里还是根据WAF中的正则缺陷来绕过测试方法,并不是协议上...
防止XSS攻击的方法-使用白名单过html标签
没有伞的孩子只能快跑,如若不跑,只有一个结果:超过你的人回头鄙视你
03-14 6383
问题场景:在网页页面的富文本编辑框添加内容是我们常见的操作,在编辑框中可以给内容填色、变字体等等之后,把内容保存到数据库。但是稍微专业的人会通过firebug/fiddler等工具拦截请求,进行修改数据(添加alert(1);等标签),提交到数据库保存,之后加载显示数据时浏览器就执行这些标签。所以我们要在后台处理非正常手段输入的标签内容 解决方法一:jsoup工具类 org.jsoup j
防止前端xss攻击的方法
05-31
5. 过非法标签和属性:可以使用一些工具或库,如DOMPurify、xss、sanitize-html等,过非法标签和属性,从而防止XSS攻击。 6. 使用安全框架:一些安全框架,如Spring Security、Shiro等,都提供了防止XSS攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值