防止html注入

于 2018-07-11 13:15:26 发布
阅读量1.3k 收藏
点赞数
分类专栏: js

1.防止html注入

背景:提交订单时测试数据通常会有html标签,例如名称字段:<html>名称</html>,这样对于查询再显示出来会有问题,因此需要对html代码进行转义

(1)后台转义

  1. String s = HtmlUtils.htmlEscape("<div>hello world</div><p> </p>"); //转义
  2. System.out.println(s);
  3. String s2 = HtmlUtils.htmlUnescape(s); //反转义
  4. System.out.println(s2);
输出结果
  1. <div>hello world</div><p>&nbsp;</p>
  3. <div>hello world</div><p> </p>

(2)前台转义

  1. var HTMLEncode=function(input){
  2. var converter=document.createElement('DIV');
  3. converter.innerText=input;
  4. var output=converter.innerHTML;
  5. converter=null;
  6. return output;
  7. }


调用以上function
HTMLEncode("字段值")

注:转以后存到数据库,取出事一般不需要反转义,jsp会自动转义并显示
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值