防止js代码注入攻击策略
程序员文章站
2022-04-18 12:43:57
防止js代码注入攻击
方法
利用正则,禁止除字母、数字、汉字其他的特殊字符。虽然可以解决但是这样影响了用户体现。
还可以利用转义。
什么是转义
说到这就不得不说一下什么是转义。
html转义是将特...
防止js代码注入攻击
方法
利用正则,禁止除字母、数字、汉字其他的特殊字符。虽然可以解决但是这样影响了用户体现。
还可以利用转义。
什么是转义
说到这就不得不说一下什么是转义。
html转义是将特殊字符或html标签转换为与之对应的字符。如:< 会转义为 <> 或转义为 >像“"<“script>alert(‘test’);”这段字符会转义为:“"<“script>alert(‘test’);”再显示时页面会将<解析为<,>解析为>,从而还原了用户的真实输入,最终显示在页面上 的还是“”<“script>alert(‘test’);"”,即避免了js注入攻击又真实的显示了用户输入。
[来源于]https://www.jb51.net/article/99047.htm
转义使用
function innerhtml(sl) { sl = sl.replace(/(\n)/g,""); sl = sl.replace(/(\t)/g,""); sl = sl.replace(/(\r)/g,""); sl = sl.replace(/<\/p[^>]*>/g,""); sl = sl.replace(/\s*/g,""); sl = sl.replace(/<[^>]*>/g,""); return sl; }