Heim > Artikel > Web-Frontend > Eine kurze Diskussion über HTML-Escape und Methoden zur Verhinderung von Javascript-Injection-Angriffen
Der folgende Editor bietet Ihnen eine kurze Diskussion über HTML-Escape und Methoden zur Verhinderung von JavaScript-Injection-Angriffen. Der Herausgeber findet es ziemlich gut, deshalb werde ich es jetzt mit Ihnen teilen und es allen als Referenz geben. Folgen wir dem Editor und werfen wir einen Blick darauf.
Manchmal wird auf der Seite ein Eingabefeld angezeigt, das ähnlich wie bei einer Web-Chat-Anwendung angezeigt wird. Wenn der Benutzer ein JS-Skript eingibt, lautet das Verhältnis: 3f1c4e4b6b16bbbd69b2ee476dc4f83aalert('test');2cacc6d41bbb37262a98f745aa00fbf0, ein Dialogfeld wird auf der Seite angezeigt, oder wenn das Eingabeskript Code enthält, der das JS ändert Variablen der Seite, das Programm wird unterbrochen, um den Zweck zu erreichen, bestimmte Überprüfungen zu überspringen. Wie kann man also einen solchen böswilligen JS-Skript-Angriff verhindern? Dieses Problem kann durch HTML-Escape gelöst werden.
1: Was ist HTML-Escape?
HTML-Escape bedeutet, Sonderzeichen oder HTML-Tags in die entsprechenden Zeichen umzuwandeln. Beispiel: a35b55c360a7c70c167fefaa677c842a maskiert, wie „3f1c4e4b6b16bbbd69b2ee476dc4f83aalert('test');2cacc6d41bbb37262a98f745aa00fbf0“ ('test');2cacc6d41bbb37262a98f745aa00fbf0" Bei erneuter Anzeige analysiert die Seite a0f38b4210e26fe14145b02e2e5c9257 in >, wodurch die tatsächliche Eingabe des Benutzers wiederhergestellt wird. Was schließlich auf der Seite angezeigt wird, ist immer noch "< ;script>alert('test');2cacc6d41bbb37262a98f745aa00fbf0", das JS-Injection-Angriffe vermeidet und Benutzereingaben wirklich anzeigt.
2: Wie entkommen?
1. Implementiert durch js
//转义 元素的innerHTML内容即为转义后的字符 function htmlEncode ( str ) { var ele = document.createElement('span'); ele.appendChild( document.createTextNode( str ) ); return ele.innerHTML; } //解析 function htmlDecode ( str ) { var ele = document.createElement('span'); ele.innerHTML = str; return ele.textContent; }
2
function htmlEncodeJQ ( str ) { return $('<span/>').text( str ).html(); } function htmlDecodeJQ ( str ) { return $('<span/>').html( str ).text(); }
3. Verwenden Sie
var msg=htmlEncodeJQ('<script>alert('test');</script>'); $('body').append(msg);
Für eine bessere Kompatibilität wird die Verwendung von jquery empfohlen.
Das obige ist der detaillierte Inhalt vonEine kurze Diskussion über HTML-Escape und Methoden zur Verhinderung von Javascript-Injection-Angriffen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!