xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义

时间：2018-07-29 22:21:13 阅读：231 评论：0 收藏：0 [点我收藏+]

XSS攻击的防范

XSS攻击造成的危害之所以会发生，是因为用户的输入变成了可执行的代码，因此我们要对用户的输入进行HTML转义处理，将其中的尖括号，引号，单引号等特殊字符进行转义编码，例如“〈”转义后为“&lt；”,“>”转义后为“&gt；”,“‘”转义后为“&amp；”,“"”转义后为“&quot；”

1、将能被转换为html的输入内容，在写代码时改为innerText而不用innerHTML

2、实在没有办法的情况下可用如下方法（js代码）

function safeStr(str){
return str.replace(/</g,‘<‘).replace(/>/g,‘>‘).replace(/"/g, """).replace(/‘/g, "'");
}

三、XSS防御

我们是在一个矛盾的世界中，有矛就有盾。只要我们的代码中不存在漏洞，攻击者就无从下手，我们要做一个没有缝的蛋。

XSS 漏洞修复

　　原则：　不相信客户输入的数据

　　注意: 攻击代码不一定在<script></script>中

　　将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.

需要对用户的输入进行处理，只允许用户输入我们期望的数据，其它值一概过滤掉。例如：　年龄的textbox中，只允许用户输入数字。而数字之外的字符都过滤掉。

　　对数据进行Html Encode 处理

　　过滤或移除特殊的Html标签，例如: <script>, <iframe> , < for <, > for >, &quot for

　　过滤JavaScript 事件的标签。例如 “onclick=”, “onfocus” 等等。

XSS具体的防御有如下方式：

原文地址：https://www.cnblogs.com/gaoyuechen/p/9387750.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

周排行