提交页面可输入的数据-----XSS漏洞

后端开发接收数据时将<script type="text/javascript">alert(1)</script>js语法转换为html实体编码;

 function htmlspecialchars(str){      

      //转换所有的html标签     
            str = str.replace(/</g, '&lt;');  
     str = str.replace(/>/gi,'&gt;');
  //只转换js的script标签
           str = str.replace(/<script/g, '&lt;script');  
           str = str.replace(/<\/script>/gi,'&lt;/script>');
           return str;  
     }

posted @ 2016-05-09 10:35  xiaoxiao333  阅读(305)  评论(0编辑  收藏  举报