防止前端脚本JavaScript注入

Posted 撒哈拉的雪

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防止前端脚本JavaScript注入相关的知识,希望对你有一定的参考价值。

在使用ajax进行留言的时候,出现了一个问题.因为留言内容写完之后,通过ajax提交内容,同时使用js把留言的内容添加到页面上来.浏览留言的时候也是通过ajax请求,然后再显示的.这样,如果有人在留言里写入了js语句,这结语句都会被执行.解决办法就是对这些特殊字符进行转义再显示出来.如果在jsp中使用jstl标签,就很简单了.直接使用<c:out value=”${r.content}”/>这样就行了,会自动进行转义,其中省略了参数escapeXML=”true”,这是默认的.所以说在显示这些用户提交的内容的时候不要用el表达示,因为el不会自动进行转义,用c:out比较好.而如果也是通过ajax请求,然后再显示的,那就用下面的方法.其实也很简单.

 

  1: var html="<script>alert(‘asdfasdf‘)<\/script>";

  2: $("#content").text(html);那么会发生什么情况 解决办法很简单 就是把这些特殊字符进行转义也就是<变成<>变成> 使用jquery对字符进行转义这样就可以了  1: <head>  2: <script>  3: var html="<script>alert(‘asdfasdf‘)<\/scipt>";

  4: html=$("#x").text(html).html();

  5: $("#content").append("<div>"+html+"</div>");

  6: </script>  7: </head>  8: <body>  9: <spanid="x"style="display:none"></span> 10: <divid="content"></div> 11: </body>

以上是关于防止前端脚本JavaScript注入的主要内容,如果未能解决你的问题,请参考以下文章

防止 Javascript 中的 HTML 和脚本注入

前端js脚本与防止js脚本

防止表单重复提交

前端攻击防御

前端基础——JavaScript

详解升讯威在线客服系统前端 JavaScript 脚本加密技术