页面输出时用 js 转义替换字符串中的 script 标签,防止 XSS

最新推荐文章于 2023-04-19 17:47:41 发布
原创 最新推荐文章于 2023-04-19 17:47:41 发布 · 4.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#js #replace #xss #javascript

本文介绍了一种使用JavaScript来防止XSS攻击的方法。通过创建DOM元素并利用innerText或textContent属性进行编码,可以有效避免XSS注入风险。此外,还展示了如何通过正则表达式替换特定的HTML标签。 
  function stringEncode(str){
      var div=document.createElement('div');
      if(div.innerText){
          div.innerText=str;
      }else{
          div.textContent=str;
      }
      return div.innerHTML;
  }

https://blog.iaiot.com/js-xss.html

tblStr = tblStr.replace(/<script>/gi, stringEncode("<script>"));
// 替换字符串变量或者结束标签这样写
tblStr = tblStr.replace(new RegExp("</script>",'gi'), stringEncode("</script>"));
$('#search-result').append(tblStr);

其中g表示全文替换,i表示忽略大小写;

防止xss和sql注入:JS特殊字符过滤正则
10-27
这些字符在JavaScript中可能被解释为特殊含义,如注释、字符串拼接等,从而成为XSS攻击的途径。 函数的实现方法是遍历输入字符串`s`的每个字符,使用`substr`方法获取单个字符,并用`replace`方法配合正则表达式...
精选资源
xss特殊字符拦截与过滤
最新发布
04-01
3. 替换单引号和双引号,防止在脚本中恶意使用引号来闭合字符串,造成注入。 代码中还展示了一个通用的replace方法,该方法接收四个参数,分别是源字符串source、旧字符串oldStr、新字符串newStr以及一个布尔值...
JS特殊字符过滤,防止xss和sql注入。
dfsafsd32323的博客
04-18 989
function stripscript(s) { var pattern = new RegExp("[%--`~!@#$^&*()=|{}':;',\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“'。,、?]") //格式 RegExp("[在中间定义特殊过滤字符]")var rs = ""; for (var i = 0...
js用户输入进行转义、反转义XSS攻击
qq_53066920的博客
10-03 1780
js用户输入进行转义、反转义XSS攻击
3-12xss范措施及href和js输出点的案例演示
山兔的博客
04-29 1543
XSS常见范措施 总的原则:输入做过滤,输出转义  过滤:根据业务需求进行过滤,比如输入点要求输入手机号,在后端写一个逻辑,只允许输入手机号格式的数字。  转义:所有输出到前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面的进行js转义。 案例演示 我们选择xss之href输出,这个地方,我们直接看源码 如果你输入的内容,不是百度,它会把你输入的内容,用htmlspecialchars()进行处理,同它这里也用了ENT_QUOTES这么个类型,这意味着’"&
防止XSS(Cross Site Scripting)攻击,防止在提交表单注入Script
08-10 839
1.概念 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 2.故事的起源...
javascript 过滤字符串script并且替换xss注入攻击
gyq04551的博客
12-05 2255
function scriptReplace(str) { if (new RegExp(".*?script[^>]*?.*?(<\/.*?script.*?>)*", "ig").test(str)) {//包含 var str1 = str.replace('script', '</*script*/>');//替换的内容 return st...
js html代码转译xss攻击
webmazha的博客
05-06 1963
function safeHtml(a){//转译html代码 var s=""; for(var i=0;ia.length;i++){ var arg=String(a); s=arg.replace(/&/g,"&").replace(/,"<").replace(/>/g,">"); console.log
使用php转义输出HTML到JavaScript
10-24
此外,为了进一步防止XSS攻击,JavaScript字符串中还可以使用Unicode的Unicode字符转义序列(`\uXXXX`)来转义那些特殊字符。例如,`和 `>` 字符可以被转义为 `\u003C` 和 `\u003E`,这样即使在JavaScript字符串中也...
javascript对HTML字符转义与反转义
11-26
- 使用JavaScript的内置方法,可以创建一个HTML元素(如`div`),将待转义字符串设置为该元素的`innerText`或`textContent`,然后读取其`innerHTML`。这种方法利用了浏览器的内部转换器,例如: ```javascript ...
js处理网页编辑器转义、去除转义、去除HTML标签的正则
10-15
如在字符串中可能存在的脚本标签`<script>`或者其他可能用于XSS攻击的标签和属性都需要被安全地转义或去除。 总之,在开发涉及到用户输入内容的Web应用,处理用户提交的HTML内容的安全性是一个至关重要的环节。...
php动态生成script,javascript 如何根据动态生成的字符串然后动态生成JS文件(script标签)里面的代码...
weixin_30461129的博客
03-18 127
我的代码如下Titletesttest2function func1(className) {return `$('${className}').find('p').text()`}for(var i=0;iconsole.log(`name${i} p:`,func1(`.name${i}`));}//第一次循环生成语句: $('.name0').find('p').text();//第二次循环...
jQuery.append()、jQuery.html()存在的XSS漏洞
weixin_30245867的博客
02-28 1376
使用jQuery.append()、jQuery.html()方法,如果其中内容包含<script>脚本而没有经过任何处理的话,会执行它。 简单的示例代码如下: 1 var xssStr = '<script>console.log(1)</script>'; 2 $('#test').html(xssStr); 控制台会打印出“1...
关于 script 的 new RegExp 和 replace
myarche的博客
04-12 807
要修改一个页面JS 替换文本规则,结果遇到了一点点麻烦。 我们想替换掉 url 字符串中的图片大小尺寸。 关于 replace 的正常用法: var str = 'https://ok99.com/wp-content/uploads/2021/04/1-48-355x200.jpg'; newstr = str.replace(/-(\d+)x(\d+)/,''); alert(newstr) PS:注意,replace 第一个参数的正则表达式不要加引号。 但是我们要使用 ne.
后端如何转义html,js脚本,防止xss攻击
qq_30503389的博客
04-19 1018
具体来说,escapedString变量中包含了HTML转义字符编码,如"
javascript转义字符的问题
xkl的博客
03-15 435
如果不转义,会被当成html的结束标记,结束javascript的解析,然后js就抛异常了 解码方式:document.write(decodeURI("%3Cscript src='js/jquery-2.0.0.min.js' type='text/javascript'%3E%3C/script%3E"));转义方式document.write('<script src="js/jquery-
javascript防止xss攻击
小丑鱼家的猪猪
06-11 8246
javascript防止xss攻击 XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击。本来缩小应该是CSS,但为了和层叠样式(Cascading Style Sheet,CSS)有所区分,故称XSS。 记录一下自己开发过程中遇到的问题 输入标签不是用文本框或者文本域的,比如用用div做可编辑标签,ht...
前端常见一些安全问题及解决方案
RJ0024的博客
09-16 550
今天小编给大家说说前端常见一些安全问题及解决方案,有兴趣的小伙伴可以了解一下! 一、CSRF安全漏洞 CSRF是通过仿造客户端的请求获取信息的,对于jsonp的请求,客户端确实可以仿造,但是因为对于ajax的请求,有同源策略限制,已经做了域名过滤,所以一般不会有问题。 解决方案: 1、检查报头中的referer参数确保请求发自正确的网站 (但XHR请求课调用setRequestHeader方法来修改Referer报头) 2、对于任何重要的请求都需要重新验证用户的身份; 3、创建一个唯一的令牌(token),
使用正则表达式去除.NET字符串中的HTML标签
"本文主要介绍如何在.NET开发环境中使用正则表达式清除字符串中的HTML标签,以实现对HTML内容的安全过滤。提供的代码示例详细展示了去除JavaScript、HTML标签以及特殊字符的过程。" 在.NET开发中,我们经常需要处理...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值