防止XSS攻击的过滤器简单实现

最新推荐文章于 2024-07-23 12:00:00 发布
最新推荐文章于 2024-07-23 12:00:00 发布
阅读量4k 收藏 3
点赞数
文章标签: js xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39181833/article/details/81978360
版权 
function filter(xss) {
  var whiteList = ['h1', 'h2']; // 白名单
  var translateMap = { '<': '&lt;', '>': '&gt;' };
  return xss.replace(/<\/?(.*?)>/g, function(str, $1, index, origin) {
    console.log($1);
    if (whiteList.indexOf($1) >= 0) {
      return str;
    }
    return str.replace(/[<>]/g, function(str) {
      return translateMap[str];
    });
  });
}
var search = location.search;
var query = search.slice(1);
var params = query.split('&').map(function(str) {
  var list = str.split('=');
  var key = list[0];
  var val = list[1];
  return { key: decodeURIComponent(key), val: decodeURIComponent(val) };
});
console.log(params);
var xss;
params.some(function(item) {
  xss = item.val;
  return true;
});
console.log(xss);
console.log(filter(xss));
document.open();
document.write(xss);
document.write(filter(xss));
document.close();

//eg http://127.0.0.1:8080/?xss=<script>alert(1)</script><h1><h2>1233</h2></h1>

 

青山院长白菜
关注
XSS简单预防
u010855333的博客
05-06 497
原理 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cook
javascript过滤XSS
05-06
用javascript的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
XSS前端简单防范
我的博客
05-21 182
Xss 前端简单防范 function encode(html){ //1.首先动态创建一个容器标签元素,如DIV var temp = document.createElement ("div"); //2.然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持) (temp.textContent != undefined ) ? (temp.textContent = html) : (temp.inne
前端安全系列(一):如何防止XSS攻击
最新发布
qq_44005305的博客
07-23 837
Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危害数据安全XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
JavaScript过滤XSS
weixin_39664733的博客
11-22 2176
var filterXSS=function(oriStr){ if(!oriStr){ return oriStr; } var charCodes=['3c','3e','27','22','28','29','60',{format:'script{}',chr:'3a'}];//要转义字符的16进制ASCII码[1< 2> 3' 4" 5( 6) 7`] var xssChars=[],filterChars=[],tmpFormat='{}',tmpChr; for(var
C# NHtmlFilter 帮你过滤Html危险脚本 防止XSS攻击
weixin_30279751的博客
10-17 340
转:http://www.oschina.net/code/snippet_222150_9776 与原文代码略有改动 /// <summary> /// Html 脚本过滤 /// </summary> public class NHtmlFilter { prot...
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的防止XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字符。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器是Java Servlet API的一部分,...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
ESAPI提供了一套完整的API,可以方便地对用户输入进行验证和清理,从而防止XSS攻击。例如,我们可以使用`ESAPI.encoder().encodeForHTML()`方法来转义HTML特殊字符,确保用户输入不会被浏览器解释为HTML代码。 要...
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在SpringBoot项目中集成ESAPI(Enterprise Security API)可以有效地防止XSS攻击。本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS防护。 首先,让我们了解ESAPI。ESAPI是一...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
AntiXss攻击防止的C#代码文件
04-01
AntiXss攻击防止的C#代码文件,AntiXss攻击防止的C#代码文件
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
xss的防范要点
一名普通码农的菜地
04-25 1634
http://conqu3r.paxmac.org/%E6%B5%85%E6%9E%90xsscross-site-script%E6%BC%8F%E6%B4%9E%E5%8E%9F%E7%90%86%EF%BC%88%E8%BD%AC%EF%BC%89/
XSS攻击过滤器实现
EvanDeveloper的专栏
07-12 1733
一、XSS简介 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类 xss攻击可以分成两种类型: 非持久型攻击 持久型攻
ASP.NET(C#)后台安全登陆代码(防XSS攻击\万能密码漏洞)
yanzhibo的专栏IlgawME)Y*Ml
02-22 9245
string ispostback = Context.Request["ispostbask"]; string k8user = this.txtUser.Text.Trim(); string k8pwd = this.txtPwd.Text.Trim(); string k8md5pwd = FormsAuthentication.HashP
js xss 过滤基本正则(只能过滤基本常用的)
gyq04551的博客
05-18 3597
let a = html.replace(/&lt;script/g, "&amp;lt;script").replace(/script&gt;/g, 'script&amp;gt;').replace(/&lt;img/g, "&amp;lt;img").replace(/&lt;script.*&gt;.*&lt;\/script.*&gt;/g, "").replace(/on(error|m...
安全防御之防xss、SQL注入、与CSRF攻击
atbz69631的博客
12-24 181
XSS攻击 个人理解,项目中最普通的就是通过输入框表单,提交js代码,进行攻击例如在输入框中提交 <script>alert("我是xss攻击");</script>,如果没有防御措施的话,就会在表单提交之后,弹出弹窗 防御措施,目前我主要是用一个过滤器,将特殊字符进行转义 代码部分 SQL注入攻击 个人理解,通过提交sql代码,...
java XSS漏洞过滤
xieedeni的博客
01-30 6254
利用 Java 的 xssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。 项目web.xml配置过滤器: &lt;!--增加filter--&gt; &lt;!-- 解决xss漏洞 --&gt; &lt;filter&gt; &lt;filter-name&gt;xssAndSqlFilter&lt;/filter-name&gt; &...
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值