防js代码注入

最新推荐文章于 2024-06-29 03:28:21 发布
最新推荐文章于 2024-06-29 03:28:21 发布
阅读量4.8k 收藏 9
点赞数 1
分类专栏: JavaScript js常用功能 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wx11408115/article/details/78201544
版权

1. 什么是 JavaScript 注入攻击?

每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。

举个例子

首先, 我在某个输入框中输入js代码

<script type="text/javascript"> alert("我是javascript代码!");</script>

这里写图片描述

然后发送都后台,传送的数据是这样的
这里写图片描述

存到数据库是这样的
这里写图片描述
最后一步,就是存到数据库后,前台页面再去取数据的时候,就··········
这里写图片描述

执行你的js代码了。
我现在只是做测试例子,不是恶意攻击。外面的世界太复杂,说不定哪天你的网站就中奖了,所以还是得处理下这块。

方法

利用jq做还是蛮方便的

        /*对html标签进行转义*/
        function htmlEncode(value){   //value为输入的值
            return $('<span/>').text(value).html();     //.这里的span标签没啥含义,换着其他标签也可以,div,p a都行
        }
         /*对html标签进行反转义*/
        function htmlDecode(value){  
            return $('<span/>').html(value).text();     
        }

直接上例子,看的清楚些。

将` <script type="text/javascript"> alert("我是javascript代码!");</script>` 转义后的结果

这里写图片描述
然后把转义后的字符串发给后台就好了。

等到前端要取这条数据的时候,你要是显示
<script type="text/javascript"> alert("我是javascript代码!");</script>
这样的话,直接把后台返回的数据,

var str = "&lt;script type="text/javascript"&gt; alert("我是javascript代码!");&lt;/script&gt;"
$("#container").html(str);// 直接html,不需要再反转义哈

测试代码附上:

<!DOCTYPE html>
<html>
<head>
    <title></title>
    <meta charset="utf-8">
</head>
<body>
<style type="text/css">
    #textarea {
        width: 500px;
        height: 200px;
        margin: 0 auto;
        display: block;
    }
    .div {
        width: 800px;
        margin: 0 auto;
    }
</style>
    <textarea id="textarea">    
    </textarea>
    <!-- <script type="text/javascript"> alert("我是javascript代码!");</script> --> 
    <div class="div">
        <button id="re">转义</button> <button id="re2">反转义</button>
        <h4>转义</h4>
        <p id="show"></p>
        <h4>反转义</h4>
        <p id="show2"></p>
    </div>
<script src="https://cdn.bootcss.com/jquery/3.2.1/jquery.min.js"></script>
<script type="text/javascript">
    (function(){
        function htmlEncode(value){  
            return $('<span/>').text(value).html();        
        }

        function htmlDecode(value){  
            return $('<span/>').html(value).text();     
        }
        $("#re").click(function() {
            var $textarea = $("#textarea");
            var $show = $("#show");             
            var str = $textarea.val();
            str = htmlEncode(str);
            $show.text(str);
        });
        $("#re2").click(function() {
            var $textarea = $("#textarea");
            var $show = $("#show2");
            var str = $textarea.val();
            str = htmlDecode(str);
            $show.text(str); //要注意这里哈。text()和html方法的不同
        });
    })();
</script>
</body>
</html>

注意

一定要注意text方法html方法的不同哈

这里是 html标签转义和反转义 http://blog.csdn.net/wx11408115/article/details/78202243

说得不对或不好的地方,请指教哈,相互学习。

WiFi_Uncle
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全问题及范措施
weixin_42429220的博客
04-24 1340
本文介绍了前端安全问题,包括 XSS 攻击、CSRF 攻击、SQL 注入等。同时,也给出了针对这些安全问题的范措施,如在前端代码中过滤用户输入,使用 HTTP-only 标记,设置 Content-Security-Policy,添加 token,检查请求来源和使用参数化查询等。XSS 攻击(跨站脚本攻击)是指攻击者向 Web 页面中注入恶意代码,从而窃取用户信息或执行其他恶意操作。SQL 注入是一种最为常见的攻击方式之一,攻击者通过在用户输入中注入 SQL 代码,从而导致网站受到损害,破坏数据库安全。
前端参数效验止sql注入的方法
weixin_43578304的博客
11-17 1742
最近做完项目时,甲方对系统有要过安全等保三级的要求,这里针对我所编写的模块遇到的前端代码扫描出现的sql注入问题,给出部分解决方案。
javascript 注入脚本
最新发布
weixin_36491999的博客
06-29 44
代码示例相关视频讲解:数组-Go代码演示JavaScript 注入脚本:了解概念和应用 JavaScript 注入脚本是一种常用的网络安全攻击方式,也是网站开发中常见的技术。通过注入恶意的 JavaScript 代码,攻击者可以在用户浏览器中执行任意脚本,从而获取用户的敏感信息或者控制用户的浏览器。在这篇文章中,我们将介...
前端输入框如何js代码攻击
qq_41621512的博客
09-27 5076
这种攻击一般叫做xss攻击 有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比如:&lt;script&gt;alert('test');&lt;/script&gt;,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。 攻击的危害  攻击者把代码注入进了访问的页面,所以恶意脚本...
输入框中如何js代码攻击
Johnsos的博客
09-27 5945
javascript可以作为黑客攻击网站的一种工具,其中注入js恶意脚本就是其中一种手段,那么下面我们来学习一下如何预js的攻击。在学习阻止js攻击之前,我们先来了解一下什么是js代码攻击 Javascript注入攻击指的是通过网页地址后加javascript代码,影响系统运作,javascript注入漏洞能发生作用主要依赖两个关键的动作:一个是用户要能从界面中注入JavaScript到系统的内...
sql注入问题
坤健的博客
08-22 262
mybatis中的#和$的区别: 1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id".  2、$将传入的数据直接显示生成在sql中。 如:where us...
ASP.NET MVC 阻止 JavaScript 注入攻击
deng_zz的专栏
01-22 6241
阻止 JavaScript 注入攻击本教程的目的是解释如何在 ASP.NET MVC 应用程序中阻止 JavaScript 注入攻击。本教程讨论止网站遭受 JavaScript 注入攻击的两种方法。我们将学习如何通过编码显示的数据止 JavaScript 注入攻击。我们还将学习如何通过编码接受的内容止 JavaScript 注入攻击。什么是 JavaScript 注入攻击?每当接
JS和C#分别注入代码
10-30
范的时候需要对用户的输入进行检查。特别是一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤。
js/sql注入简易工具源代码
03-18
JavaScript注入通常发生在客户端,攻击者可以通过在输入字段中插入恶意脚本来执行非预期的JavaScript代码,可能导致信息泄露、页面篡改或其他安全问题。js脚本注入的关键是对用户输入进行严格的验证和过滤,确保...
360提供的phpsql注入代码修改类
05-02
本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
sql注入原理及php注入代码.doc
12-02
SQL注入原理及PHP注入代码 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在用户输入中注入恶意SQL代码来...止SQL注入需要了解SQL注入原理和止SQL注入的方法,使用注入函数和代码止SQL注入
止input框输入的javascript代码
04-13
可以有效的阻止在hutml文档的input框中输入内容,纯手写,经检测可以顺利运行
通俗易懂的php注入代码
10-29
以下将详细解释标题和描述中提到的两种PHP注入代码方法。 **方法一:基于关键词过滤** 这种方法的核心在于定义一个包含可能的SQL注入关键字的数组(如`$ArrFiltrate`),然后遍历`$_POST`和`$_GET`全局数组,...
前端页面JS注入问题,前端XSS安全问题解决办法
热门推荐
41981DC的博客
09-24 3万+
在页面中增加 JS 校验,对特殊符号进行替换,止用户输入恶意代码导致 JS 注入问题。 在 web 开发中,对用户输入的内容做校验是必不可少的环节,不管是通过正则表达式对用户的输入进行校验,还是通过对特殊符号进行转义,均可达到目的。通过正则表达式校验,可能会导致用户体验差一点(因为用户不能自由输入~~),本文通过对 特殊符号进行转义 的方法来演示。 示例 自定义添加角色,包括角色名称、角色...
止网站内容被小偷采集的js代码
taokai的专栏
01-24 1386
function setCookie(name, value, expires, path, domain, secure) {         var curCookie = name + "=" + escape(value) +                 ((expires) ? "; expires=" + expires.toGMTString() : "") +         
javascript注入代码,过滤关键字!
weixin_33739627的博客
12-22 273
javascript注入代码,过滤关键字! 其实没啥用,就是学下正则表达式,比如upupdatedate,过滤掉update还有update. 没啥意思.     js版的范SQL注入式攻击代码:    代码 &lt;script language="javascript"&gt;&lt;!-- var url = location.search; var re=/^\...
jQuery怎么做textarea禁止输入“!!!”的功能
积善之家
09-12 282
如果你希望在用户输入时,在textarea中输入“!”时立即删除该字符,可以使用jQuery的。”替换为空字符串,从而删除该字符。注意,由于用户每输入一个字符都会触发。事件,因此此方法可能会对输入响应速度产生一些影响。当用户在textarea中输入“!事件中,可以使用JavaScript的。
js注入
悦分享
10-28 6038
js注入 有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:&lt;script&gt;alert('test');&lt;/script&gt;,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何止这种恶意的js脚本攻击呢? 使用HttpServletReques...
如何避免JavaScript 注入攻击?
qq_43288299的博客
09-27 3840
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。 假设用户正在将以下文本输入到客户反馈表单中: &amp;amp;lt;...
node sql 注入
06-29
Node.js 作为JavaScript运行环境,虽然不像PHP或SQL Server那样直接处理SQL查询,但它仍然可以避免SQL注入攻击,特别是在使用ORM(对象关系映射)库或者处理来自用户输入的数据时。以下是一些止Node.js SQL注入的常见方法: 1. 使用预编译语句(PreparedStatement)或参数化查询(Parameterized Queries): 不要把用户输入直接拼接到SQL字符串中,而是将它们作为参数传递给数据库查询函数,这样数据库会自动处理转义。 2. ORM工具:许多Node.js ORM库如Sequelize、TypeORM等内置了止SQL注入的功能,它们会自动处理数据的转义和绑定。 3. 数据验证:在接收到用户输入后,对数据进行严格的格式检查和验证,只允许预期的格式的数据进入查询。 4. 使用安全的库:一些库如`mysql2-promise-safe`提供了安全的API,可以减少SQL注入的风险。 5. 不执行来自不可信源的代码:如果你的应用从用户那里接收并执行SQL查询,确保只执行来自可信来源的数据。 6. 错误处理和日志记录:对异常进行适当的处理,并记录所有SQL查询,以便发现和追踪可能的注入尝试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值