如何原封不动的保存并安全回显输入内容

最新推荐文章于 2024-04-16 17:01:38 发布
最新推荐文章于 2024-04-16 17:01:38 发布
阅读量1.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Web Develop 文章标签: 数据库 html web开发 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/barfoo/article/details/4210011
本文讨论了如何通过HTML编码来安全地处理和展示用户输入,防止XSS攻击。介绍了需要编码的特殊字符,并提供了处理用户输入的安全策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    在web开发中,经常需要原封不动的保存用户输入,并安全的回显到页面中。对于一般的字符串,比如abc、123之类的输入,直接回显到web页面中并没有什么不妥。但对于<javascript>alert(0);</javascript>这种输入而言,就必须进行必要的转码再输出到web页面中,否则就会出现著名的XSS攻击了。

   为了安全的回显,我们需要把 ‘  "  <  & > 这5个符号进行html编码。只要解决了这5个字符的编码,就可以避免XSS攻击了。

    1: 对用户直接输入的内容必须经过html编码之后再进行web回显。

    2: 对保存到数据库中的内容应为用户输入的原始数据

    3: 对数据库中读取的原始数据需要进行html编码之后再进行web回显。

    4: 尽量不要在数据库中保留进过编码之后的数据(特殊情况例外,比如在苛刻的性能要求下)

【漏洞篇】网络安全面试
大河之犬的博客
04-08 5799
例如我们往系统里面插入一条数据,如果此次操作的数据包被攻击者获取,又恰巧后台没有对重复内容进行验证,那么攻击者就可以利用该数据包重复的发起请求,无限制的往数据库插入数据,即使请求包是加密的也不影响,从而造成资源浪费。$$导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。变量覆盖即通过外部输入将某个变量的值给覆盖掉,可以让我们修改某些关键变量的值,可能造成越权访问、写入webshell等危害。
一篇学会SQL注入 | 详解SQL注入(基础向,基础到每个参数)
weixin_47075747的博客
06-14 1367
**括号里面的查询被称之为子查询,在执行顺序中子查询先执行,然后再执行外面的 select **2) 的值是确定性的,假随机。
#47 将输入字符串原封不动输出
桃之妖妖,濯濯其华
11-24 1699
题目描述: 接收输入的一个字符串(无空格、制表符等), 原封不动输出该字符串,最后必须输出车。 最长输入20个有效字符(不包括车)。 例如输入:apple 输出:apple 输入:test2test* 输出:test2test* 参考代码: #include<stdio.h> int main() { char s[24]; gets(s); puts(s); return 0; } 讲解: 这是什么水题鸭? 求实求真,大气大为。 ...
使用el-input文本框实现文本html格式的保存回显编辑,示详情等
yolo3712的博客
04-16 2233
使用el-input文本框实现文本html格式的保存回显编辑,示详情等
登陆界面的数据保存回显的操作
优快云流星追月专属频道--吃的苦中苦,方为人上人!
05-29 1560
package com.example.day02_file; import java.util.Map; import com.example.lession02_file.service.FileService; import android.app.Activity; import android.os.Bundle; import android.text.TextUtils; im
设置控制上次选中的回显(多个)
weixin_45535370的博客
10-13 151
项目场景: 考试系统中为考试试卷设置考试题目,下次进来设置时示上次选中的试题 问题描述: 数据传输问题,后台需要传给前端查询到所有试题id的list,传list不方便获取,就用了LinkedHashMap //获取当前试卷选中的试题id List <String> questionIds = questionCreateService.getAllQuestions(id); Map<Integer, String&g...
用C语言打印一个内容
m0_75163409的博客
05-07 2105
1.直接打印2.打印变量。
pikachu靶场练习通关加知识点总结
qq_45584159的博客
12-11 8291
pikachu靶场练习 文章目录pikachu靶场练习前言一.暴力破解1.1 基于表单的暴力破解1.2验证码绕过(on sever)1.3验证码绕过(on client)1.4tokon防爆破二、xssxss概述DOM:文档对象类型xss形成的原因:xss漏洞的测试流程:1.1反射型xss(get)1.2反射型xss(post)三.CSRF四.SQL注入五.RCE六.文件包含七.不安全的文件下载八.越权九.目录遍历十.敏感信息泄露十一,PHP反序列化十二.XXE十三.重定向十四.SSRF十五.管理工具
python echo
09-15
当用户在命令行窗口中输入内容后,Python Echo 脚本会读取输入内容将其原封不动地打印出来。 使用 Python Echo 非常简单,只需要在命令行中运行脚本文件即可。在运行脚本后,用户会看到一个提示符,表示可以...
实用的串口调试工具ComAssistant
描述中提到的“可以回显所传的文件”意味着这个工具具有能够接收传入的数据,将其原封不动地返给发送方的功能。这在测试或调试通信协议时尤为有用,开发者可以通过这种方式验证数据是否按照预期被发送和接收。 ...
python输入输出
奔跑的QQEE的笔记
09-14 376
本文译自https://docs.python.org/2.7/tutorial/。完全是出于个人兴趣翻译的,请勿追究责任。另外,谢绝商业牟利。刊印请与本人和原作者联系,无授权不得刊印,违者必究其责任。如需转发,请注明来源,保留此行,尊重本人的劳动成果,谢谢。 来源:优快云博客 作者:奔跑的QQEE python 版本:2.7.13 (本文有删改) pyt
【textarea内容不反】textarea标签内容不反?因为`<textarea>` 不支持 `value` 属性。
m0_45382009的博客
11-19 751
var textContent="输入的具体内容..." //内容: let htmlStr = `<textarea name="textarea" rows="5" cols="30" minlength="10" maxlength="20">${textContent}</textarea>` //内容获取 let newTextContent = $('textarea').val() 项目中实例: ...
vue.js 回显textarea入的空格和换行
lemon今天学习了吗?的博客
11-23 6085
一、场景:用户在表单或者textarea中输入的带空格和换行的内容提交后,在其他地方查看输入内容必须与输入内容保持一致。
啊哈C语言 第七章 【代码】【习题答案】
FangWenJing150的博客
09-14 1204
使用的开发工具是VS2019; 代码参考书籍为《啊哈C语言!逻辑的挑战》; 博文中包括文章和课后习题的答案配有GIF图能更直观看到输出效果;
用Python批量取出word中表格信息,以excel格式输出
qq_41758228的博客
07-11 8167
当然Python中只能写入docx格式的word,所以切记修改了先哦。import docximport osimport xlwtfrom docx import Document #导入库rootdir ='你word所在目录'list = os.listdir(rootdir) #列出文件夹下所有的目录与文件f = xlwt.Workbook()#创建工作簿sheet1 = f.add_sh...
VBS读写文件以及OpenTextFile方法
热门推荐
zhangrenfang的专栏
01-14 2万+
文件的创建: FSO 让你可以用现存在的文本工作,也可以让你自己创建脚本。为了创建一个新的文本文件,简单的创建一个 FSO 对象,然后调用 CreateTextFile 方法,输入完整的文件路径信息作为这个方法的参数 例如:(在c:\windows文件夹创建一个xxwl.ini文件) Set objFSO = CreateObject("Scripting.FileSystemObject") S
字符串的输入输出处理
weixin_44856457的博客
07-21 563
题目描述 字符串的输入输出处理。 输入 第一行是一个正整数N,最大为100。之后是多行字符串(行数大于N), 每一行字符串可能含有空格,字符数不超过1000。 输出 先将输入中的前N行字符串(可能含有空格)原样输出,再将余下的字符串(不含有空格)以空格或车分割依次按行输出。每行输出之间输出一个空行。 样例输入 2 www.dotcpp.com DOTCPP A C M D O T CPP 样例输出 www.dotcpp.com DOTCPP A C M D O T CPP 思路: 用gets可以存入空格,
h5保存图片到相册回显
最新发布
12-31
### 实现 HTML5 网页中保存图片至手机相册立即示 为了实现在 H5 页面中保存图片到用户的设备相册在页面上即时回显,可以采用 JavaScript 结合 HTML5 提供的相关 API 来完成这一功能。需要注意的是,在移动浏览器环境中操作文件系统受到严格的安全策略限制。 #### 使用 File System Access API 和 Clipboard API 现代浏览器提供了 `File System Access API` 可用于读取和写入文件,而 `Clipboard API` 则允许将图像数据复制到剪贴板以便用户粘贴保存。然而直接访问安卓系统的 MediaStore 或者 iOS 的照片库权限受限于原生应用层面而非 Web 应用层面上的操作[^1]。 对于保存后的即时展示需求,则可以通过 Base64 编码的方式加载刚刚生成/获取的图片资源: ```javascript async function saveAndDisplayImage(imageBlob) { try { const imageObjectURL = URL.createObjectURL(imageBlob); // 创建 img 元素来预览新保存的图片 let imgElement = document.createElement('img'); imgElement.src = imageObjectURL; imgElement.style.maxWidth = '100%'; document.body.appendChild(imgElement); // 尝试调用 Android/iOS 原生分享接口(如果可用) if (navigator.canShare && navigator.share) { await navigator.share({ files: [new File([imageBlob], "screenshot.png", { type: "image/png" })], title: 'Webpage', text: 'Look at this screenshot!' }); } else { console.log("Native sharing not supported."); // 如果不支持则尝试通过其他方式提示用户手动保存 const aTag = document.createElement('a'); aTag.href = imageObjectURL; aTag.download = 'saved_image.png'; aTag.click(); } } catch(error){ console.error("Error during saving and displaying:", error); } } ``` 由于安全原因,大多数情况下无法直接编程控制向移动端的照片库添加条目;上述代码片段展示了如何创建一个新的 `<img>` 标签将最近一次处理过的二进制图片流作为其源属性值从而达到视觉上的“即时示”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值