xss 防护总结

防住html 方式插入到页面中的即可，需要根据具体的项目来防护。有一种防护是将所有的外部危险的数据都过滤掉：

1.

function xssFilterStr(e) {
var t = {
scriptReg: /<\s*script(.*?)\s*>|<\s*\/\s*script\s*>/gim, // 去除script 标签
styleReg: /<\s*style(.*?)\s*>|<\s*\/\s*style\s*>/gim, // 去除style标签
eventReg: /\bon[A-Za-z]+\s*\=/gim,    // 去除onClick 等事件
pseudoProReg: /(?:javascript|jav\s+ascript|\&#\d+|\&#x)/gim, // 去除 特殊字符 &#x 
otherReg: /&#x|data:/gim,                         // 去除data: 关键字
expressionReg: /expression\s*\(/gim          // 去除express 关键字
}
, n = e.match(/(href|src)\s*=\s*("|')(.*?)("|')/gim); // 去除href 中的链接
for (var r in t)                                                 
e = e.replace(t[r], "");
try {
for (var i = 0; i < n.length; i++) {
var o = n[i].split("/");
o && o[2] && (o[2].startsWith(document.domain) || (e = e.replace(n[i], "")))
}
} catch (s) {}
return e
}

 

2.容易造成xss 的有一种是 将script 截断  ，如一个变量 字符中包含"</script><script>alert("xx")</script>" 会将当前script 结束掉，然后 alert("xx")

jquery 的防护可以考虑重写 html 等会造成安全隐患的方法

vue 中的：