xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义

xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义

 

XSS攻击的防范

     XSS攻击造成的危害之所以会发生，是因为用户的输入变成了可执行的代码，因此我们要对用户的输入进行HTML转义处理，将其中的尖括号，引号，单引号等特殊字符进行转义编码，例如“〈”转义后为“&lt；”,“>”转义后为“&gt；”,“'”转义后为“&amp；”,“"”转义后为“&quot；”

 

1、将能被转换为html的输入内容，在写代码时改为innerText而不用innerHTML

2、实在没有办法的情况下可用如下方法（js代码）

function safeStr(str){
return str.replace(/</g,'&lt;').replace(/>/g,'&gt;').replace(/"/g, "&quot;").replace(/'/g, "&#039;");
}

 

三、XSS防御

我们是在一个矛盾的世界中，有矛就有盾。只要我们的代码中不存在漏洞，攻击者就无从下手，我们要做一个没有缝的蛋。

 

XSS 漏洞修复

　　原则：　不相信客户输入的数据

　　注意:  攻击代码不一定在<script></script>中

　　将重要的cookie标记为http only,   这样的话Javascript 中的document.cookie语句就不能获取到cookie了.

     需要对用户的输入进行处理，只允许用户输入我们期望的数据，其它值一概过滤掉。例如：　年龄的textbox中，只允许用户输入数字。 而数字之外的字符都过滤掉。

　　对数据进行Html Encode 处理

　　过滤或移除特殊的Html标签， 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for

　　过滤JavaScript 事件的标签。例如 “onclick=”, “onfocus” 等等。

 

XSS具体的防御有如下方式：