解決html轉義及防止javascript注入攻擊
第一種:value="${wcrActivity.activityTitle.replace(/</g,'<').replace(/>/g,'>').replace(/"/g,'"');}"
第二種:value="${wcrPlatformSet.platformName.replace('\"','"')}"
第三種:後臺獲取該欄位的時候使用request.getParameter("");而不是使用javabean封裝到實體類中。第四種:fn:escapeXml()函式
第五種:
有的時候頁面中會有一個輸入框,使用者輸入內容後會顯示在頁面中,類似於網頁聊天應用。如果使用者輸入了一段js指令碼,比例:<script>alert('test');</script>,頁面會彈出一個對話方塊,或者輸入的指令碼中有改變頁面js變數的程式碼則會時程式異常或者達到跳過某種驗證的目的。那如何防止這種惡意的js指令碼攻擊呢?通過html轉義能解決這個問題。
一:什麼是html轉義?
html轉義是將特殊字元或html標籤轉換為與之對應的字元。如:< 會轉義為 <> 或轉義為 >像“<script>alert('test');</script>”這段字元會轉義為:“<script>alert('test');</script>”再顯示時頁面會將<解析為<,>解析為>,從而還原了使用者的真實輸入,最終顯示在頁面上 的還是“<script>alert('test');</script>”,即避免了js注入攻擊又真實的顯示了使用者輸入。
二:如何轉義?
1、通過js實現
[javascript] view plain copy- //轉義 元素的innerHTML內容即為轉義後的字元
- function htmlEncode ( str ) {
- var ele = document.createElement('span');
- ele.appendChild( document.createTextNode( str ) );
- return ele.innerHTML;
- }
- //解析
- function htmlDecode ( str ) {
-
var ele = document.createElement(
- ele.innerHTML = str;
- return ele.textContent;
- }
2、通過jquery實現
[javascript] view plain copy- function htmlEncodeJQ ( str ) {
- return $('<span/>').text( str ).html();
- }
- function htmlDecodeJQ ( str ) {
- return $('<span/>').html( str ).text();
- }
3、使用
var msg=htmlEncodeJQ('<script>alert('test');</script>');
$('body').append(msg);
建議使用jquery實現,因為有更好的相容性