防止js注入

已于 2024-10-31 20:34:43 修改
阅读量6.2k 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Spring全家桶 微信小程序 Java全栈开发 JS、Layui、Vue、React 全栈前端开发 文章标签: 防止js注入
于 2018-10-28 16:22:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35029061/article/details/83475546

防止js注入

有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:<script>alert('test');</script>,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?

使用HttpServletRequestWrapper重写Request请求参数

目的: 改变请求参数的值,满足项目需求(如:过滤请求中 lang != zh 的请求)

方法: 1.使用 HttpServletRequestWrapper重写

1 public class ChangeRequestWrapper extends HttpServletRequestWrapper {
 2     private Map<String, String[]> parameterMap; // 所有参数的Map集合
 3 
 4     public ChangeRequestWrapper(HttpServletRequest request) {
 5         super(request);
 6         parameterMap = request.getParameterM
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Java如何防止JS脚本注入代码实例
10-14
主要介绍了Java如何防止JS脚本注入代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
浅谈html转义及防止javascript注入攻击的方法
11-30
**防止JavaScript注入攻击** 的方法主要包括以下几点: 1. **HTML转义**:如上所述,对用户输入进行转义,确保任何可能的脚本标记都被转化为安全的文本。 2. **输入验证**:在用户提交数据之前进行严格的输入验证,...
js】input输入防注入
Anno_O的博客
11-06 195
【代码】【js】input输入防注入
脚本注入网页
最新发布
rasssel的博客
07-10 420
指攻击者向网页中注入恶意脚本代码(通常是 JavaScript),当用户浏览网页时,这些脚本会在用户浏览器中执行,达到窃取信息、劫持会话、跳转钓鱼等攻击目的。
ASP.NET MVC 阻止 JavaScript 注入攻击
deng_zz的专栏
01-22 6365
阻止 JavaScript 注入攻击本教程的目的是解释如何在 ASP.NET MVC 应用程序中阻止 JavaScript 注入攻击。本教程讨论防止网站遭受 JavaScript 注入攻击的两种方法。我们将学习如何通过编码显示的数据防止 JavaScript 注入攻击。我们还将学习如何通过编码接受的内容防止 JavaScript 注入攻击。什么是 JavaScript 注入攻击?每当接
防止JS注入
不忘初心的专栏
09-21 1923
<t 当前台显示用户输入的数据或者是从后台传过来的数据,就容易造成js注入,最新在开发网页的时候,由于忘记对从后台过来的数据做校验,导致出现了js注入。 什么是js注入? 比如下面这样一段html代码,显示表格数据。 但是如果把一段代码
js防止注入实现
乐夫天命兮的博客
12-25 3611
前端给后台传json格式参数,输入字段向后台传参时前端要做防止注入。 html转义是将特殊字符或html标签转换为与之对应的字符。如:&lt; 会转义为 &amp;lt;&gt; 或转义为 &amp;gt;像“&lt;script&gt;alert('test');&lt;/script&gt;”这段字符会转义为:“&amp;lt;script&amp;gt;alert('test');&amp;...
jquery ajax对特殊字符进行转义防止js注入使用示例
10-26
在Web开发中,JavaScript注入JS注入)是一种常见的安全威胁,它允许攻击者通过输入恶意脚本到网页的输入字段,使这些脚本在用户的浏览器上执行,可能导致数据泄露、权限提升或其他不良后果。jQuery的AJAX功能在...
如何避免JavaScript 注入攻击?
qq_43288299的博客
09-27 4178
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。 假设用户正在将以下文本输入到客户反馈表单中: &amp;amp;lt;...
JS代码防止SQL注入的方法(超简单)
01-19
下面通过两个方面给大家介绍js代码防止sql注入的方法,非常简单实用,感兴趣的朋友参考下吧! 1.URL地址防注入: //过滤URL非法SQL字符 var sUrl=location.search.toLowerCase(); var sQuery=sUrl.substring(sUrl.indexOf(=)+1); re=/select|update|delete|truncate|join|union|exec|insert|drop|count|'||;|>|<|%/i; if(re.test(sQuery)) { alert(请勿输入非法字符); location.href
js代码注入
WiFi_Uncle的专栏
10-11 5095
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
两段简单的JS代码防止SQL注入
weixin_30387799的博客
08-31 131
1.URL地址防注入://过滤URL非法SQL字符varsUrl=location.search.toLowerCase();varsQuery=sUrl.substring(sUrl.indexOf("=")+1);re=/select|update|delete|truncate|join|union|exec|insert|drop|count|’|"|;|>|<|%/i;i...
js中用正则表达式 过滤特殊字符, js验证中文字母数字
weixin_34087307的博客
08-14 1066
//匹配中文 数字 字母 下划线 var checkInput = function (str) { var pattern = /^[\w\u4e00-\u9fa5]+$/gi; if(pattern.test(c)) { return false; } return t...
文本输入,js注入,识别网址,清除富文本html,修改富文本图片样式
qq_40591925的博客
06-06 497
文本输入,js注入,识别网址
如何防止js注入攻击和SQL注入攻击
06-07
防止JS注入攻击: 1. 过滤用户输入:在前端和后端都要对用户输入的数据进行过滤,特别是一些特殊字符,如`<`、`>`、`&`等。可以使用正则表达式来过滤这些特殊字符。 2. 对特殊字符进行转义:在前端输出用户输入数据时,对一些特殊字符进行转义,如`<`转义成`<`,`>`转义成`>`,`&`转义成`&`等。 3. 使用CSP(Content Security Policy):CSP是一种Web安全政策,可以限制浏览器加载和执行外部脚本的能力,从而防止一些JS注入攻击。 防止SQL注入攻击: 1. 使用参数化查询:在后端处理用户输入时,使用参数化查询来执行SQL语句,防止用户输入的数据被当做SQL语句的一部分执行。 2. 避免拼接SQL语句:在后端处理用户输入时,避免将用户输入的数据直接拼接到SQL语句中,特别是一些特殊字符,如`'`等。 3. 过滤用户输入:在前端和后端都要对用户输入的数据进行过滤,特别是一些特殊字符,如`'`、`"`等。可以使用正则表达式来过滤这些特殊字符。 4. 使用ORM框架:ORM框架可以自动对用户输入的数据进行参数化查询,并且可以防止一些SQL注入攻击。常见的ORM框架有Entity Framework、Dapper等。 总之,防止JS注入攻击和SQL注入攻击的最好方法就是对用户输入的数据进行过滤和转义,避免直接将用户输入的数据拼接到JS代码和SQL语句中,特别是一些特殊字符。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值