欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

防止js代码注入攻击策略

程序员文章站 2022-04-18 12:43:57
防止js代码注入攻击 方法 利用正则,禁止除字母、数字、汉字其他的特殊字符。虽然可以解决但是这样影响了用户体现。 还可以利用转义。 什么是转义 说到这就不得不说一下什么是转义。 html转义是将特...

    防止js代码注入攻击

    方法

    利用正则,禁止除字母、数字、汉字其他的特殊字符。虽然可以解决但是这样影响了用户体现。

    还可以利用转义。

    什么是转义

    说到这就不得不说一下什么是转义。

    html转义是将特殊字符或html标签转换为与之对应的字符。如:< 会转义为 <> 或转义为 >像“"<“script>alert(‘test’);”这段字符会转义为:“"<“script>alert(‘test’);”再显示时页面会将<解析为<,>解析为>,从而还原了用户的真实输入,最终显示在页面上 的还是“”<“script>alert(‘test’);"”,即避免了js注入攻击又真实的显示了用户输入。

    [来源于]https://www.jb51.net/article/99047.htm

    转义使用

    function innerhtml(sl) {
        sl = sl.replace(/(\n)/g,"");
        sl = sl.replace(/(\t)/g,"");
        sl = sl.replace(/(\r)/g,"");
        sl = sl.replace(/<\/p[^>]*>/g,"");
        sl = sl.replace(/\s*/g,"");
        sl = sl.replace(/<[^>]*>/g,"");
        return sl;
    }