jsp给前端注入值失败_前端页面JS注入问题,前端JS注入解决办法

最新推荐文章于 2023-04-12 09:56:35 发布
最新推荐文章于 2023-04-12 09:56:35 发布
阅读量269 收藏
点赞数
文章标签: jsp给前端注入值失败
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39681621/article/details/111846836
版权

在页面中增加 JS 校验,对特殊符号进行替换,防止用户输入恶意代码导致 JS 注入问题。

在 web 开发中,对用户输入的内容做校验是必不可少的环节,不管是通过正则表达式对用户的输入进行校验,还是通过对特殊符号进行转义,均可达到目的。通过正则表达式校验,可能会导致用户体验差一点(因为用户不能自由输入~~),本文通过对 特殊符号进行转义 的方法来演示。

示例

自定义添加角色,包括角色名称、角色描述

1.1 未对特殊符号进行替换,直接保存到数据库。

在输入框中输入伪恶意代码,点击保存,去列表页面查看效果如下

首先会弹框,说明恶意代码执行了。

数据显示错位或者不完整,用户体验差,会被老板骂。

数据库中存储的是用户输入的原始字符

1.2 在提交表单前或者发送 ajax 请求前,对用户输入的值做校验,并对特殊符号进行替换。

js 函数代码如下

function replaceStr(a) {

a = a.replace(/(
]*>| |\s*)/g, '')

.replace(/\&/g,"&")

.replace(/\"/g,""")

.replace(/\'/g,"'")

.replace(/\

.replace(/\>/g,">");

return a;

}

本示例中是通过 form 表单进行提交的,所以在 form 表单提交前,对表单属性的值进行了 replace。同样,通过常规的 ajax 请求,也可以在提交请求前,对参数的 value 进行 replace 再提交。

再次执行 1.1 中的添加角色步骤,查看页面效果和数据库存储情况。

经过特殊符号替换后,页面显示正常,没有弹框、数据错位等问题

查看此时数据库中存储的数据:

数据库中存储的是经过转义过后的特殊字符,这样当数据在页面上显示的时候,就不会出现 js 注入的问题

所以,web 开发中,对于用户可以自由输入的地方,一定要做校验和处理,因为你不知道你的用户是不是也懂一点 JavaScript。

经验有限,如果纰漏或错误,欢迎指正!

weixin_39681621
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSP+Servlet+JDBC对数据库进行增加Insert操作,出现错误:只针对IDEA
Massionter的博客
09-09 477
JSP+Servlet+JDBC对数据库进行增加Insert操作,出现错误:只针对IDEA。 java.lang.ClassNotFoundException: com.mysql.jdbc.Driver 本文针对的是IDEA,因为Eclipse等应该是不会出现我这个问题的。 先说原因,由于Maven工程是quick start(纯java项目),后来想通过JSP获取数据对数据库进行插入操作,所以...
前端登录注册页面jsp
最新发布
07-04
2. **SQL注入防护**:在处理用户输入时,应避免SQL注入攻击,使用PreparedStatement或ORM框架(如Hibernate)可以有效防止此类问题。 **前后端分离** 虽然JSP可以同时处理视图和逻辑,但现代Web开发趋势倾向于前后...
JSP页面SQL注入简单处理
chizhi3352的博客
02-05 507
方法如下: public static String getFormatPara(String str) { String formatStr = ""; if (str != null) { formatStr = str.replace("00:00...
前端页面(向后端数据库存入数据)显示 “添加失败问题 / 缺少@ResponseBody造成的问题
m0_70720417的博客
04-12 645
前端页面(向后端数据库存入数据)显示 “添加失败问题 ssm项目中,前端存入数据,数据库上显示 “添加成功”,但前端页面显示 “添加失败” (你感觉其他东西都配置好了,但还是没效果) ---尝试的解决方法
jsp中sql注入及防范
fanzhenhua的专栏
11-05 1231
SQL注入攻击的总体思路:     发现SQL注入位置;     判断服务器类型和后台数据库类型;     确定可执行情况 对于有些攻击者而言,一般会采取sql注入法。下面我也谈一下自己关于sql注入法的感悟。注入法:从理论上说,认证网页中会有型如:select * from admin where username=XXX and password=YYY 的语句,若在正式运行此句之
jsp工程防止外部注入_防止 jsp被sql注入的五种方法
weixin_39626180的博客
01-27 223
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
jsp、struts、spring、mybatis实现前端页面功能模块化拆分的方案
10-20
方案一的核心思想是通过后台填充数据到JSP,然后在前端利用JavaScript进行页面交互。但这种方法可能会导致JSP页面过于复杂,耦合度高,不利于维护。因此,可以考虑采用更现代的前端框架,如AngularJS或React,配合...
基于javaweb的图书馆查询系统.zip_javaweb_javaweb_前端_javaweb前端_javaweb图书查询_基
09-20
HTML、CSS和JavaScript是前端开发的基础,而现代Web开发框架如Vue.js、React.js或Angular.js能提高开发效率和用户体验。 4. 请求处理:在JavaWeb中,Servlet是处理HTTP请求的主要组件。当用户通过浏览器发送查询...
jsp.zip_javascript BBS_jsp bbs
09-22
JavaScript通常用于前端页面的动态效果和用户交互,而JSP则是后端服务器端脚本语言,用于处理动态内容和与数据库的交互。 在【压缩包子文件的文件名称列表】中: 1. "www.pudn.com.txt" 可能是一个链接或者引用信息...
JAVAWEB校园订餐系统项目源码-前端JSP-WebRoot.zip
11-02
在本项目中,WebRoot下的JSP文件负责展示页面,CSS文件用于样式控制,JavaScript文件可能包含一些前端逻辑,如表单验证、动态加载等。 4. **前端交互**:项目可能使用AJAX(Asynchronous JavaScript and XML)技术...
js 操作form表单
weixin_43294560的博客
11-04 5016
js 操作form表单 **获取表单对象** 除了document.getElemetById("xx"); 等常规获取方式 仅限于form的方式 document.name <form action="" method="get" id="fm" name="frm"></form> var frm=document.frm **...
JS动态模拟Form表单提交数据
旷野历程
08-25 2436
分享知识 传递快乐 JS动态模拟Form表单提交数据 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <button onclick="subForm()">提交</button> </body> &..
JS加密传输FROM表单数据
qq_37899005的博客
06-29 1150
前端页面传递数据,或者请求短信类接口,拿到XHR中的请求就有可能被人刷数据。 JS处理这个问题 基础原理:利用sort降序处理加上时间戳处理 HTML使用 var data = {user_name:user_name,short_company_name:user_name,mobile:mobile,user_passwd:user_passwd,code:code}; //调用js代码 加密 getSignature(data) $.post("/P
浅谈javascript注入攻击
qq_41914181的博客
10-17 1万+
前言 记录一次防止js注入的项目经历,起因,项目在测试过程中,发现可能存在注入可能,于是拿到代码开始查看,因为现在前后端分离的情况下,需要特殊处理避免XSS攻击(跨站脚本攻击)的情况已经很少了,所以这次情况引起了我的兴趣。 介绍 什么是javascript注入攻击?简单来说,就是页面上输入的内容中带有可执行的javascript,而你使用这段输入内容的时候,让这段用户提供的代码执行了,也就是你写的代码,执行了非你写的代码,就会导致网页的不可行乃至更严重的安全威胁。 传统页面的服务端渲染 因为传统页面基本都是
原生js实现from表单验证
qq_34228805的博客
06-09 2398
html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document</title> <link rel="stylesheet" href="style.c..
javascript注入
心态决定一切
07-22 1186
1、JavaScript注入就是在浏览器地址栏中输入一段js代码,用来改变页面js变量、页面标签的内容。 使用Javascript注入,用户不需要关闭或保存网页就可以改变其内容,这是在浏览器的地址栏上完成的。命令的语法如下: javascript:alert(#command#) 例如,如果你想在http://www.example.com站点上看到一个alert警告框,那么首先在地址栏上...
js 向form表单中插入数据
weixin_30955341的博客
01-03 979
var newElement = document.createElement("input"); var nowtime=year+""+month+day+hour+minute+second; newElement.setAttribute("name","nowtime"); newElement.setAttribute("value",nowtime); newElement...
Form表单提交前进行JS验证的3种方式
weixin_30652897的博客
09-15 543
1. 提交按钮的onclick事件中验证 <script type="text/javascript"> function check(form) {   return true; }</script> <form> <input type="submit" name="submit1" value="...
JAVA后台 关于如何从后台传递信息在jsp前端页面显示
热门推荐
Atimynyc的博客
10-29 1万+
JAVA后台 关于如何从后台传递信息在jsp前端页面显示首先,博主今天为了将后台的信息传递到前台,废了不少的脑筋,一开始,博主采用了request.setAttribute()的方法,来实现的,具体代码如下:在servlet中,写上: request.setAttribute(“name”, loginUser.getAccount());//这里的意思可以理解为将loginUser.getAcc
springboot 实现数据实时推送到前端js+jsp页面
06-13
要实现数据实时推送到前端页面中,可以使用 WebSocket 技术。Spring Boot 对 WebSocket 的支持非常好,可以很方便地实现实时数据推送。 下面是一个简单的示例: 1. 首先,在 Spring Boot 项目中引入 WebSocket ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值