JavaScript过滤XSS

最新推荐文章于 2024-05-20 15:17:08 发布
最新推荐文章于 2024-05-20 15:17:08 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: 笔记 文章标签: javascript xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39664733/article/details/121479896
版权
  1. var filterXSS=function(oriStr){
  2. if(!oriStr){
  3. return oriStr;
  4. }
  5. var charCodes=['3c','3e','27','22','28','29','60',{format:'script{}',chr:'3a'}];//要转义字符的16进制ASCII码[1< 2> 3' 4" 5( 6) 7`]
  6. var xssChars=[],filterChars=[],tmpFormat='{}',tmpChr;
  7. for(var i=0;i<charCodes.length;i++){
  8. if('string'==typeof charCodes[i]){
  9. tmpFormat='{}';
  10. tmpChr=charCodes[i];
  11. }else{
  12. tmpFormat=charCodes[i].format;
  13. tmpChr=charCodes[i].chr
  14. }
  15. xssChars.push(tmpFormat.replace('{}','\\u00'+tmpChr));
  16. xssChars.push(tmpFormat.replace('{}','%'+tmpChr));//1次encode
  17. xssChars.push(tmpFormat.replace('{}','%25'+tmpChr));//2次encode
  18. filterChars.push(tmpFormat.replace('{}','&#x'+tmpChr+';'));
  19. filterChars.push(tmpFormat.replace('{}','%26%23x'+tmpChr+'%3B'));//1次encode
  20. filterChars.push(tmpFormat.replace('{}','%2526%2523x' + tmpChr + '%253B'));//2次encode
  21. }
  22. for(var i=0;i<xssChars.length;i++){
  23. oriStr=oriStr.replace(new RegExp(xssChars[i],'gi'),filterChars[i]);
  24. }
  25. //预防script:
  26. oriStr=oriStr.replace(/script[\u000d\u000a\u0020]+\:/,'script:');
  27. return oriStr;
  28. }
绝地风流
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
javascript防止xss攻击
小丑鱼家的猪猪
06-11 7841
javascript防止xss攻击 XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击。本来缩小应该是CSS,但为了和层叠样式(Cascading Style Sheet,CSS)有所区分,故称XSS。 记录一下自己开发过程中遇到的问题 输入标签不是用文本框或者文本域的,比如用用div做可编辑标签,ht...
前端xss脚本攻击,js过滤xss脚本,nodejs过滤xss脚本
GIS地图技术分享(GIS入门、Openlayers教程、Leaflet教程),做最好的GIS地图开发教程
11-24 2336
xss系列: springmvc防xss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义 前端xss脚本攻击,js过滤xss脚本,nodejs过滤xss脚本 前言 xss攻击很常见,不多说,直接开始。 本章参考:https://github.com/leizongmin/js-xss/blob/master/README.zh.md 1.引用js-xss库: <script src="https://cdn.bootcdn.net/ajax/libs/js-xss/
javascript过滤XSS
05-06
javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
js xss 过滤基本正则(只能过滤基本常用的)
gyq04551的博客
05-18 3467
let a = html.replace(/&lt;script/g, "&amp;lt;script").replace(/script&gt;/g, 'script&amp;gt;').replace(/&lt;img/g, "&amp;lt;img").replace(/&lt;script.*&gt;.*&lt;\/script.*&gt;/g, "").replace(/on(error|m...
防止xss和sql注入:JS特殊字符过滤正则
lyxkgc的博客
09-16 1290
防止xss和sql注入:JS特殊字符过滤正则
js 前端处理xss攻击,对危险的字符串进行过滤
PrimaryColor
04-01 5784
es6: npm install xss --save 这里测试使用的是es5,下载链接: https://download.csdn.net/download/qq_42740797/16291859 https://raw.githubusercontent.com/leizongmin/js-xss/master/dist/xss.js过滤的比较严重,将html的所有属性都给过滤了) 调用函数: function filterXSS(string) html: <!.
前端XSS攻击场景与Vue.js处理XSS的方法:vue-xss
zhangzuying的博客
12-21 2626
前端开发中,跨站脚本攻击(XSS)是一种常见的安全威胁。本文将介绍前端跨站脚本攻击(XSS)的场景以及在Vue.js框架中如何处理XSS的方法。通过了解这些内容,我们可以更好地保护前端应用程序的安全性,防止恶意攻击。一个开箱即用的Vue.js插件,可通过简单的方式防止XSS攻击。
XSS各种过滤手段,如何绕过写payload-学习笔记
ZhangAweio的博客
04-12 990
XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,意思就是说可以任意执行js代码,包括js的而已代码。
xss测试代码大全javascript中的xss过滤
03-24
xss测试代码大全
showdown-xss-filter:摊牌降价转换器的XSS过滤
04-29
showdown-xss-filter 扩展,使用过滤XSS。客户端< script src =" /path/to/showdown/src/showdown.js " > </ script >< script src =" /path/to/xss/dist/xss.min.js " > </ script >< ...
PHP如何防止XSS攻击与XSS攻击原理的讲解
01-02
XSS又称CSS,全称Cross ...理论上,只要存在能提供输入的表单并且没做安全过滤过滤不彻底,都有可能存在XSS漏洞。 下面是一些最简单并且比较常见的恶意字符XSS输入: 1.XSS 输入通常包含 JavaScript 脚本,如弹出恶
为解决存储型xss和sql注入漏洞,创建对应的全局过滤
apple_pingwan的博客
01-13 2601
为解决存储型xss和sql注入漏洞,创建对应的全局过滤器。
渗透测试XSS跨站漏洞input输入js特殊字符过滤
a1604914398的博客
05-09 5547
修复建议:建议对用户得输入与输出进行过滤过滤一些比较危险得标签和关键字,如<script></script>、alert等 代码如下:在input输入框加入onblur事件;定义onblur="checkText('id',this.value)";id为文本框DOMid属性 //验证文本框输入特殊字符 function checkText(id,text){/...
ajax xssfilter,js 前端注入文本过滤xssfilter-js
weixin_36207513的博客
08-05 610
前端开发中总是认为自己实现了业务代码满足了用户需求,却不知web存在的许多安全隐患,如各种的注入攻击,xss跨站脚本攻击,跨域请求伪造,以及之前提到的不安全的http,其他等等。本人写了一个对于注入攻击可以过滤注入敏感关键字的库xssfilter-js,如果觉得好的可以start,也希望您能参与贡献injectFilter.js注入攻击过滤器(兼容IE)-实现过滤文本或DOM元素中的敏感关键字防...
收录一些xss漏洞过滤方法
danfly1010的专栏
01-26 6369
一、漏洞类型说明     1、 高危漏洞     高危漏洞包括:SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。     SQL注入漏洞:网站程序忽略了对输入字符串中包含的SQL语句的检查,使得包含的SQL语句被数据库误认为是合法的SQL指令而运行,导致数据库中各种敏感数据被盗取、更改
前端过滤XSS攻击
gtlishujie的博客
12-21 1094
前端过滤XSS攻击, 我这里用的是开源工程 js-xss,官网地址:根据白名单过滤HTML(防止XSS攻击):https://raw.github.com/leizongmin/js-xss/master/dist/xss.js 使用js-xss,引入xss.js,<script type="text/javascript" src="js/xss.js"></script> 调用filterXSS()即可,如:var ipt1 = filterXSS(ipt1);或consol
ant design DatePicker日期选择框指定分钟的间隔minuteStep属性
u010234868的专栏
05-17 190
在上面的例子中,DatePicker 将只允许用户以 15 分钟为间隔选择分钟。是 Ant Design 的 TimePicker时间选择框组件的一个属性。设置为 30,则用户可以选择以 30 分钟为间隔的分钟值。如果你想让分钟选项只能以 15 分钟为间隔选择,你可以将。
React Suspense与Concurrent Mode:异步渲染的未来
最新发布
天涯学馆
05-20 637
React的Suspense和Concurrent Mode是React 16.8及更高版本引入的概念,旨在提升用户体验和性能,特别是在处理异步数据加载和动画时。它们是React的下一代渲染策略的一部分,目的是实现更流畅的交互和更高效的资源调度。
前端安全】JavaScriptXSS攻击
05-23
XSS(Cross-site scripting)攻击是指攻击者利用Web应用程序没有对用户提交的数据进行足够的验证和过滤,从而在Web页面中注入恶意脚本,当用户访问这些页面时,这些恶意脚本就会被执行,从而达到攻击者的目的。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值