如何原封不动的保存并安全回显输入内容

最新推荐文章于 2024-04-16 17:01:38 发布
最新推荐文章于 2024-04-16 17:01:38 发布
阅读量1.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Web Develop 文章标签: 数据库 html web开发 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/barfoo/article/details/4210011
本文讨论了如何通过HTML编码来安全地处理和展示用户输入,防止XSS攻击。介绍了需要编码的特殊字符,并提供了处理用户输入的安全策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    在web开发中,经常需要原封不动的保存用户输入,并安全的回显到页面中。对于一般的字符串,比如abc、123之类的输入,直接回显到web页面中并没有什么不妥。但对于<javascript>alert(0);</javascript>这种输入而言,就必须进行必要的转码再输出到web页面中,否则就会出现著名的XSS攻击了。

   为了安全的回显,我们需要把 ‘  "  <  & > 这5个符号进行html编码。只要解决了这5个字符的编码,就可以避免XSS攻击了。

    1: 对用户直接输入的内容必须经过html编码之后再进行web回显。

    2: 对保存到数据库中的内容应为用户输入的原始数据

    3: 对数据库中读取的原始数据需要进行html编码之后再进行web回显。

    4: 尽量不要在数据库中保留进过编码之后的数据(特殊情况例外,比如在苛刻的性能要求下)

【漏洞篇】网络安全面试
大河之犬的博客
04-08 5802
例如我们往系统里面插入一条数据,如果此次操作的数据包被攻击者获取,又恰巧后台没有对重复内容进行验证,那么攻击者就可以利用该数据包重复的发起请求,无限制的往数据库插入数据,即使请求包是加密的也不影响,从而造成资源浪费。$$导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。变量覆盖即通过外部输入将某个变量的值给覆盖掉,可以让我们修改某些关键变量的值,可能造成越权访问、写入webshell等危害。
一篇学会SQL注入 | 详解SQL注入(基础向,基础到每个参数)
weixin_47075747的博客
06-14 1369
**括号里面的查询被称之为子查询,在执行顺序中子查询先执行,然后再执行外面的 select **2) 的值是确定性的,假随机。
#47 将输入字符串原封不动输出
桃之妖妖,濯濯其华
11-24 1700
题目描述: 接收输入的一个字符串(无空格、制表符等), 原封不动输出该字符串,最后必须输出车。 最长输入20个有效字符(不包括车)。 例如输入:apple 输出:apple 输入:test2test* 输出:test2test* 参考代码: #include<stdio.h> int main() { char s[24]; gets(s); puts(s); return 0; } 讲解: 这是什么水题鸭? 求实求真,大气大为。 ...
使用el-input文本框实现文本html格式的保存回显编辑,示详情等
最新发布
yolo3712的博客
04-16 2237
使用el-input文本框实现文本html格式的保存回显编辑,示详情等
登陆界面的数据保存回显的操作
优快云流星追月专属频道--吃的苦中苦,方为人上人!
05-29 1560
package com.example.day02_file; import java.util.Map; import com.example.lession02_file.service.FileService; import android.app.Activity; import android.os.Bundle; import android.text.TextUtils; im
设置控制上次选中的回显(多个)
weixin_45535370的博客
10-13 151
项目场景: 考试系统中为考试试卷设置考试题目,下次进来设置时示上次选中的试题 问题描述: 数据传输问题,后台需要传给前端查询到所有试题id的list,传list不方便获取,就用了LinkedHashMap //获取当前试卷选中的试题id List <String> questionIds = questionCreateService.getAllQuestions(id); Map<Integer, String&g...
用C语言打印一个内容
m0_75163409的博客
05-07 2105
1.直接打印2.打印变量。
pikachu靶场练习通关加知识点总结
qq_45584159的博客
12-11 8292
pikachu靶场练习 文章目录pikachu靶场练习前言一.暴力破解1.1 基于表单的暴力破解1.2验证码绕过(on sever)1.3验证码绕过(on client)1.4tokon防爆破二、xssxss概述DOM:文档对象类型xss形成的原因:xss漏洞的测试流程:1.1反射型xss(get)1.2反射型xss(post)三.CSRF四.SQL注入五.RCE六.文件包含七.不安全的文件下载八.越权九.目录遍历十.敏感信息泄露十一,PHP反序列化十二.XXE十三.重定向十四.SSRF十五.管理工具
python echo
09-15
当用户在命令行窗口中输入内容后,Python Echo 脚本会读取输入内容将其原封不动地打印出来。 使用 Python Echo 非常简单,只需要在命令行中运行脚本文件即可。在运行脚本后,用户会看到一个提示符,表示可以...
实用的串口调试工具ComAssistant
描述中提到的“可以回显所传的文件”意味着这个工具具有能够接收传入的数据,将其原封不动地返给发送方的功能。这在测试或调试通信协议时尤为有用,开发者可以通过这种方式验证数据是否按照预期被发送和接收。 ...
python输入输出
奔跑的QQEE的笔记
09-14 377
本文译自https://docs.python.org/2.7/tutorial/。完全是出于个人兴趣翻译的,请勿追究责任。另外,谢绝商业牟利。刊印请与本人和原作者联系,无授权不得刊印,违者必究其责任。如需转发,请注明来源,保留此行,尊重本人的劳动成果,谢谢。 来源:优快云博客 作者:奔跑的QQEE python 版本:2.7.13 (本文有删改) pyt
【textarea内容不反】textarea标签内容不反?因为`<textarea>` 不支持 `value` 属性。
m0_45382009的博客
11-19 752
var textContent="输入的具体内容..." //内容: let htmlStr = `<textarea name="textarea" rows="5" cols="30" minlength="10" maxlength="20">${textContent}</textarea>` //内容获取 let newTextContent = $('textarea').val() 项目中实例: ...
vue.js 回显textarea入的空格和换行
lemon今天学习了吗?的博客
11-23 6085
一、场景:用户在表单或者textarea中输入的带空格和换行的内容提交后,在其他地方查看输入内容必须与输入内容保持一致。
啊哈C语言 第七章 【代码】【习题答案】
FangWenJing150的博客
09-14 1204
使用的开发工具是VS2019; 代码参考书籍为《啊哈C语言!逻辑的挑战》; 博文中包括文章和课后习题的答案配有GIF图能更直观看到输出效果;
C++中的cin.getline()和getline()的区别
转载和创作优秀的博客
02-11 307
cin.getline()是输入流对象的成员函数 getline()是string类的成员函数 先来看一下getline()的使用方法: #include<iostream> using namespace std; int main() { string str; getline(cin,str); cout << str; return 0; } 使用getline(),顾名思义就是读取一行,这一行中可以包括空格,我们来看下输入以及输出结果...
程序设计基础(5)——顺序程序设计(输入与输出)
m0_62219748的博客
05-07 1070
输入与输出的概念 输入是指吧数据从外部设备(磁盘、键盘、磁带、传感器......)上读入计算机的。输出是把计算机内部的数据送到外部设备(磁盘、示器、打印机....)上去。 C语言不提供I/O语句,而是通过标准函数库中的若干标准函数实现I/O的 (1)字符的输入 C提供的字符输入函数是一个无参函数,调用该函数的一般格式是: getchar() 其操作是从标准输入设备(也就是键盘)上读入一个字符,作为函数值。 读入的字符一般是要保存到一个字符型变量中,若变量ch是字符类型,通常以如下形式使用该函
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值