html 中 textarea input 的输入、存储、显示 与 xss 防御

最新推荐文章于 2025-06-20 10:40:53 发布
原创 最新推荐文章于 2025-06-20 10:40:53 发布 · 2.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#html #textarea #input #xss

博客探讨了HTML中textarea和input的用户输入处理,包括如何存储原始数据、正确显示以及防止XSS攻击。讨论了使用div和pre标签的优缺点,以及存储转义字符可能导致的问题。提出了相应的解决方案,并引用了相关资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

html 中 textarea input 的输入、存储、显示 与 xss 防御。需求如下:

存储用户在 textarea input 中输入的原始数据(非转义后的数据),并可以正确显示,同时要避免 xss 攻击。

存在的问题:使用 div 显示数据时,标签会被错误解析,同时会遭到 xss 攻击。为了避免 xss 攻击,通常的做法是修改用户输入的数据,如将 < 修改为 &lt;,存在的问题如下:

存储真实数据,div 里显示数据前进行转义

如果要正确的在 div 上显示 textarea input 里输入的数据(避免 xss 攻击,同时显示 < 等标签),需要在获取到数据时,后台将 < 修改为 &lt;,同时还要过滤其他 xss 攻击。(但我早就放弃了这个方法,因为太麻烦了)

存储真实数据,用 pre 标签显示是否可以。

答:格式可以保留,但完全不能避免 xss 攻击。(除非输入存储的内容不包含特殊字符)

存储转义后的字符带来的问题1

如:用户输入的是 < ,则需要将 &lt;存储到数据库中。如果该字段的长度限制为1,保存时抛出异常。除非该字段设置的长度永远是用户输入字符长度的20倍以上,才能完全避免该问题。(前端用户输入 16 个字符,Mysql 中 varchar 的长度最少设置为 320。比较极端的情况,用户输入了 16 个 ",mysql 中保存16个 &quot;,即 64 个字符)

存储转义后的字符带来的问题2

如:用户需要再次编辑,用户原来输入的 < 却在 textarea 里显示成了 &lt;。(除非在获取数据时再转义回去,那是相当麻烦。除非保证用户永远不会再修改数据,那是区块链?)

最低0.47元/天 解锁文章

200万优质内容无限畅学
【Java代码审计】XSS
大河之犬的博客
12-16 2万+
XSS 漏洞是指攻击者在网页中嵌入客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植入代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输入“输出”参数进行关键字过滤或转义处理,则很可能存在跨站脚本漏洞。从 Web 应用上来看,攻击者可以控制的参数包括 URL 参数、post 提交的表单数据以及搜索框提交的搜索关键字,一般对该漏洞的审计策略如下收集输入、输出点查看输入、输出点的上下文环境。判断 Web 应用是否对输入、输出做了防御工作(如过滤、扰乱以及编码)
rails 利用UTF-8的 multibyte特性 对textarea 发动 xss 攻击
microad_liy的专栏
09-30 1989
UTF-8的 multibyte特性: 1个文字是由复数个字节组成的. Shift_JIS情况下,一个"あ"占2个字节. "あ".tosjis.bytes.to_a #=>[130, 160] utf-8情况下,一个"あ"占3个字节. "あ".toutf8.
前端的安全隐患之XSS攻击
最新发布
Shan1205的博客
06-20 266
无论开发团队采取何种保护措施,比如对代码进行混淆、加固,甚至混入大量垃圾代码来增加破解难度,用户总有办法获取前端的源代码或调用链。当后端将用户输入的内容直接渲染到页面上时,浏览器会执行这段 JavaScript 代码,弹出一个警告框:“XSS Attack!这就是 XSS 攻击攻击者通过在输入中嵌入恶意的 HTML 或 JavaScript 代码,当这些代码被浏览器渲染时,就会执行攻击者的恶意脚本,从而篡改页面内容、窃取用户信息等。假设有一个用户评论的接口,用户可以在网页上输入评论内容并提交。
web开发中如何保存textarea中的格式 又能防御XSS攻击
sj005bd的博客
03-21 2679
最近在开发一个web项目中的内部邮箱系统时被一个问题卡住了,我希望能通过邮箱向用户推送各类信息并且用户能原样式浏览。但是又希望对输入进行过滤防止恶意的XSS攻击。      一般而言,我们都会在服务器端使用htmlspecialchars(nl2br($str))对内容进行过滤防止XSS攻击,但是使用了这个方式,用户就没法原样式浏览信息。     如果不进行过滤,第一存在极大的安全风险,第二一
input禁止输入html转义字符串,xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义...
weixin_39655689的博客
06-07 1198
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义XSS攻击的防范XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其中的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“&lt;”,“>”转义后为“&gt;”,“‘”转义后为“...
PHP中 HTMLPurifier防XSS攻击
郑宗强的博客
04-27 477
HTMLPurifier是我目前用过最好的PHP富文本HTML过滤器了,采用了白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击HTMLPurifier项目地址:http://htmlpurifier.org 配置方法记录下来,以备工作中使用! /** * * @param [type] $string [要过滤的内容] * @return ...
java中写html脚本_java – 在HTML textarea显示脚本时,是否可以进行XSS攻击
weixin_42357916的博客
02-26 233
这取决于您如何设置textarea的值.在HTML代码中,textarea的内容是元素内的文本.我创建了一个JSFiddle to demonstrate各种方法来改变textarea的内容var dangerous = 'alert("Danger!");';document.getElementById('e1').value = dangerous;document.getElementBy...
XSS攻击原理防御原理
小晓晓晓林的博客
08-22 3653
xss又称跨站脚本攻击,原称为css(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以又称为xss(x一般有未知的含义,还有扩展的含义)。 XSS攻击原理 xss攻击涉及到了攻击者,用户和web server。主要是利用了网站本身设计的不严谨性,攻击者通过对网页插入恶意的攻击脚本,导致当用户在浏览网页的时候,嵌入其中的攻击脚...
XSS防御-使用AntiSamy
热门推荐
张张张小胜的博客
07-11 1万+
AntiSamy是OWASP的一个开源项目,被广泛应用于Web服务对存储型和反射型XSS防御
Web漏洞_XSS(cookiesession、DVWA1.9版本XSS反射型、存储型靶机实验、BeEF基本使用)
BeatRex的博客
04-05 1796
一、原理 二、分类 三、绕过 注意标签的闭合 大小写绕过 双写绕过 图片标签加事件绕过 <img src=# alert('xss')>)
【应用安全——XSSinput-hidden
Fly_鹏程万里
02-22 918
1、使用expression突破 &lt;input type=hidden style="x:expression(alert(/xss/))"&gt; 直接利用CSS的expression属性来实现突破,此技巧适用于IE6及以下的浏览器。 2​、使用accesskey突破 &lt;input type="hidden" accesskey="X" onclick="alert(/x...
html插入flash代码_十八.XSS跨站脚本攻击原理及代码攻防演示(一)
weixin_39878698的博客
11-21 502
一.什么是XSS1.XSS原理跨网站脚本(Cross-site scripting,XSS) 又称为跨站脚本攻击,是一种经常出现在Web应用程序的安全漏洞攻击,也是代码注入的一种。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者用户可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻...
如何防止xss攻击
xiaozhuangyumaotao的博客
05-26 489
所谓xss,全称Cross Site Scripting,翻译过来就是"跨站脚本攻击",按照惯例,我们该称之为CSS,但是css不是有了么,为了不和层叠样式表(英文名Cascading Style Sheets, CSS)的缩写混淆,才将跨站脚本攻击缩写为XSSXSS是一种在web应用中的程序安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 至今为止,你可能依然不知道xss攻击到底是啥。举个简单例子: 论坛都玩过吧,如果你在发表帖子的时候输入"&l...
Javascript 输入框 xss注入 以及防范
Johnny Liao的博客
12-02 1万+
注入 类似于sql注入,在输入内容上动手脚,然后造成标签闭合的现象,再写入恶意 的js; 例如: &lt;input type="text" value="$var"&gt; 输入的内容如果是 " onclick = "javascript_function()" &gt; 在遇到有字符限制的情况下,可以将两个input之间的内容注释掉, 再在之间构建恶意的js &lt;in...
【网络安全】防止XSS注入的方法
Xuetao_Shen的博客
03-22 2884
关于防止XSS注入: 1.尽量使用框架。通过对自己的网页进行xss保留型攻击的测试,尽管自己没有对某些输入框进入转义,但还是无法进行xss注入,因为框架会自动将某些特殊字符转义。(我使用的spring+struts+hibernate框架)。 2.如果不使用框架,一定要进行字符转义。对< 、> 、" 、 等字符进行转义成为:&lt; 、&gt; 、...
html&js之简单信息录入——删除、修改、保存
Euniceing的博客
09-13 2498
html&js之简单信息录入——删除、修改、保存
怎么使用input执行xss攻击_萌新向 | 输入框因何频受攻击
weixin_32401075的博客
01-08 3099
萌新向XSS漏洞导言:我们决定特别建立一个专辑,以帮助没有基础的人快速入门。该专辑同样分为Web二进制两项,但公众号的专辑区别在于,我们将着重引导新生入门,讲述最简单、最基础的知识,事无巨细地讲述相关知识点操作,即使你对计算机一无所知,我们也相信,你能跟随着我们的文章,满足你之前对于安全的一些想象。如果你对安全一无所知却又非常感兴趣,那么,我们的文章将会是你入门的最佳选择。我们的...
富文本编辑框和防止xss攻击
anmi3721的博客
08-07 1565
一、后台管理页面构建 1、创建后台管理url urlpatterns = [ ... # 后台管理url re_path("cn_backend/$", views.cn_backend), re_path("cn_backend/add_article/$", views.add_article), ... ] 2...
什么是XSS攻击,如何防御
03-08
可能还需要推荐一些工具或资源,如OWASP的XSS防御手册,帮助用户进一步学习。 检查是否有遗漏点,比如DOM型XSS防御,可能需要避免使用eval等不安全函数,对URL参数进行编码处理。还有是否提到浏览器的XSS防护机制...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值