页面输出时用 js 转义替换字符串中的 script 标签,防止 XSS

最新推荐文章于 2023-04-19 17:47:41 发布
最新推荐文章于 2023-04-19 17:47:41 发布
阅读量4.4k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网站 前端 SEO 文章标签: js replace xss javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iaiot/article/details/79267334
本文介绍了一种使用JavaScript来防止XSS攻击的方法。通过创建DOM元素并利用innerText或textContent属性进行编码,可以有效避免XSS注入风险。此外,还展示了如何通过正则表达式替换特定的HTML标签。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  function stringEncode(str){
      var div=document.createElement('div');
      if(div.innerText){
          div.innerText=str;
      }else{
          div.textContent=str;
      }
      return div.innerHTML;
  }

https://blog.iaiot.com/js-xss.html

tblStr = tblStr.replace(/<script>/gi, stringEncode("<script>"));
// 替换字符串变量或者结束标签这样写
tblStr = tblStr.replace(new RegExp("</script>",'gi'), stringEncode("</script>"));
$('#search-result').append(tblStr);

其中g表示全文替换,i表示忽略大小写;

javascript 过滤字符串script并且替换xss注入攻击
gyq04551的博客
12-05 2223
function scriptReplace(str) { if (new RegExp(".*?script[^>]*?.*?(<\/.*?script.*?>)*", "ig").test(str)) {//包含 var str1 = str.replace('script', '</*script*/>');//替换的内容 return st...
JS特殊字符过滤,防止xss和sql注入。
dfsafsd32323的博客
04-18 973
function stripscript(s) { var pattern = new RegExp("[%--`~!@#$^&*()=|{}':;',\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“'。,、?]") //格式 RegExp("[在中间定义特殊过滤字符]")var rs = ""; for (var i = 0...
js用户输入进行转义、反转义XSS攻击
qq_53066920的博客
10-03 1707
js用户输入进行转义、反转义XSS攻击
防止XSS(Cross Site Scripting)攻击,防止在提交表单注入Script
08-10 822
1.概念 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 2.故事的起源...
js html代码转译xss攻击
webmazha的博客
05-06 1948
function safeHtml(a){//转译html代码 var s=""; for(var i=0;ia.length;i++){ var arg=String(a); s=arg.replace(/&/g,"&").replace(/,"<").replace(/>/g,">"); console.log
php动态生成script,javascript 如何根据动态生成的字符串然后动态生成JS文件(script标签)里面的代码...
weixin_30461129的博客
03-18 116
我的代码如下Titletesttest2function func1(className) {return `$('${className}').find('p').text()`}for(var i=0;iconsole.log(`name${i} p:`,func1(`.name${i}`));}//第一次循环生成语句: $('.name0').find('p').text();//第二次循环...
防止xss和sql注入:JS特殊字符过滤正则
10-27
这些字符在JavaScript中可能被解释为特殊含义,如注释、字符串拼接等,从而成为XSS攻击的途径。 函数的实现方法是遍历输入字符串`s`的每个字符,使用`substr`方法获取单个字符,并用`replace`方法配合正则表达式...
xss特殊字符拦截与过滤
最新发布
04-01
3. 替换单引号和双引号,防止在脚本中恶意使用引号来闭合字符串,造成注入。 代码中还展示了一个通用的replace方法,该方法接收四个参数,分别是源字符串source、旧字符串oldStr、新字符串newStr以及一个布尔值...
使用php转义输出HTML到JavaScript
10-24
此外,为了进一步防止XSS攻击,JavaScript字符串中还可以使用Unicode的Unicode字符转义序列(`\uXXXX`)来转义那些特殊字符。例如,`和 `>` 字符可以被转义为 `\u003C` 和 `\u003E`,这样即使在JavaScript字符串中也...
javascript对HTML字符转义与反转义
11-26
- 使用JavaScript的内置方法,可以创建一个HTML元素(如`div`),将待转义字符串设置为该元素的`innerText`或`textContent`,然后读取其`innerHTML`。这种方法利用了浏览器的内部转换器,例如: ```javascript ...
js处理网页编辑器转义、去除转义、去除HTML标签的正则
10-15
如在字符串中可能存在的脚本标签`<script>`或者其他可能用于XSS攻击的标签和属性都需要被安全地转义或去除。 总之,在开发涉及到用户输入内容的Web应用,处理用户提交的HTML内容的安全性是一个至关重要的环节。...
jQuery.append()、jQuery.html()存在的XSS漏洞
weixin_30245867的博客
02-28 1351
使用jQuery.append()、jQuery.html()方法,如果其中内容包含<script>脚本而没有经过任何处理的话,会执行它。 简单的示例代码如下: 1 var xssStr = '<script>console.log(1)</script>'; 2 $('#test').html(xssStr); 控制台会打印出“1...
关于 script 的 new RegExp 和 replace
myarche的博客
04-12 786
要修改一个页面JS 替换文本规则,结果遇到了一点点麻烦。 我们想替换掉 url 字符串中的图片大小尺寸。 关于 replace 的正常用法: var str = 'https://ok99.com/wp-content/uploads/2021/04/1-48-355x200.jpg'; newstr = str.replace(/-(\d+)x(\d+)/,''); alert(newstr) PS:注意,replace 第一个参数的正则表达式不要加引号。 但是我们要使用 ne.
3-12xss范措施及href和js输出点的案例演示
山兔的博客
04-29 1398
XSS常见范措施 总的原则:输入做过滤,输出转义  过滤:根据业务需求进行过滤,比如输入点要求输入手机号,在后端写一个逻辑,只允许输入手机号格式的数字。  转义:所有输出到前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面的进行js转义。 案例演示 我们选择xss之href输出,这个地方,我们直接看源码 如果你输入的内容,不是百度,它会把你输入的内容,用htmlspecialchars()进行处理,同它这里也用了ENT_QUOTES这么个类型,这意味着’"&
后端如何转义html,js脚本,防止xss攻击
qq_30503389的博客
04-19 935
具体来说,escapedString变量中包含了HTML转义字符编码,如"
javascript防止xss攻击
小丑鱼家的猪猪
06-11 8189
javascript防止xss攻击 XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击。本来缩小应该是CSS,但为了和层叠样式(Cascading Style Sheet,CSS)有所区分,故称XSS。 记录一下自己开发过程中遇到的问题 输入标签不是用文本框或者文本域的,比如用用div做可编辑标签,ht...
前端常见一些安全问题及解决方案
RJ0024的博客
09-16 521
今天小编给大家说说前端常见一些安全问题及解决方案,有兴趣的小伙伴可以了解一下! 一、CSRF安全漏洞 CSRF是通过仿造客户端的请求获取信息的,对于jsonp的请求,客户端确实可以仿造,但是因为对于ajax的请求,有同源策略限制,已经做了域名过滤,所以一般不会有问题。 解决方案: 1、检查报头中的referer参数确保请求发自正确的网站 (但XHR请求课调用setRequestHeader方法来修改Referer报头) 2、对于任何重要的请求都需要重新验证用户的身份; 3、创建一个唯一的令牌(token),
TML转义字符:xss攻击与HTML字符的转义和反转义
周陆军的博客,分享it技术。
06-25 2010
HTML常用转义字符对照表:最常用的字符实体 Character Entities、ISO 8859-1 (Latin-1)字符集、数学和希腊字母标志、重要的国际标记、JavaScript转义符、富文本通用转义字符、HTML特殊转义字符对照表
使用正则表达式去除.NET字符串中的HTML标签
"本文主要介绍如何在.NET开发环境中使用正则表达式清除字符串中的HTML标签,以实现对HTML内容的安全过滤。提供的代码示例详细展示了去除JavaScript、HTML标签以及特殊字符的过程。" 在.NET开发中,我们经常需要处理...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值