js防止注入实现

今天其他项目组同事过来问过我是否遇到过这种情况?

场景:在项目input框中输入含有script标签包含的脚本,提交后却意外的被执行了。(所有恶意攻击的脚本标签)

问题:HTML没有进行转义的发送,会导致回显或者提交的时候html语义无法解释 < 和 > 符号,认为其是标签。故进行标签模式的渲染。

解决:每次发送前对输入的字符串进行特殊符号的转义,避免html标签符号和特殊符号给解释器造成冲突。从而导致XSS的恶意脚本攻击。

 

下面附上防止js脚本注入的源码:

<!DOCTYPE html>
<html>
    <head>
        <meta charset="UTF-8">
        <title></title>
    </head>
    <body>
        <textarea id="textarea" style="width:300px;height:100px;"></textarea>
        <button id="getValue" onclick="getVal()">获取</button>
        <button id="setValue" onclick="setVal()">赋值</button>
    </body>
    <script>
        var $ = document.getElementById('textarea');
        var _val = '';
        function getVal(){
            _val = htmlEncode ($.value);
            alert(_val);
            $.value = '';
        }
        function setVal(){
            $.value = htmlDecode (_val);
        }
        //转义  元素的innerHTML内容即为转义后的字符
        function htmlEncode (str) {
          var ele = document.createElement('span');
          ele.appendChild( document.createTextNode( str ) );
          return ele.innerHTML;
        }
        //解析 
        function htmlDecode (str) {
          var ele = document.createElement('span');
          ele.innerHTML = str;
          return ele.textContent;
        }
    </script>
</html>

 

使用方式

1、将XSS攻击的脚本语言输入到textarea文本域中,点击获取会弹出其转义后的字符串。

2、点击赋值会将转移后的字符串赋值给textarea文本域的value。从而html解释器解释特殊字符,并显示出用户想要显示的特殊语义。

 

有问题欢迎广大代码爱好者交流,互相学习。

 

posted @ 2019-10-09 15:13  王维璋  阅读(5930)  评论(0编辑  收藏  举报