Eine kurze Diskussion über HTML-Escape und Methoden zur Verhinderung von Javascript-Injection-Angriffen

Der folgende Editor bietet Ihnen eine kurze Diskussion über HTML-Escape und Methoden zur Verhinderung von JavaScript-Injection-Angriffen. Der Herausgeber findet es ziemlich gut, deshalb werde ich es jetzt mit Ihnen teilen und es allen als Referenz geben. Folgen wir dem Editor und werfen wir einen Blick darauf.

Manchmal wird auf der Seite ein Eingabefeld angezeigt, das ähnlich wie bei einer Web-Chat-Anwendung angezeigt wird. Wenn der Benutzer ein JS-Skript eingibt, lautet das Verhältnis: <script>alert('test');</script>, ein Dialogfeld wird auf der Seite angezeigt, oder wenn das Eingabeskript Code enthält, der das JS ändert Variablen der Seite, das Programm wird unterbrochen, um den Zweck zu erreichen, bestimmte Überprüfungen zu überspringen. Wie kann man also einen solchen böswilligen JS-Skript-Angriff verhindern? Dieses Problem kann durch HTML-Escape gelöst werden.

1: Was ist HTML-Escape?

HTML-Escape bedeutet, Sonderzeichen oder HTML-Tags in die entsprechenden Zeichen umzuwandeln. Beispiel: < wird in <> maskiert, wie „<script>alert('test');</script>“ ('test');" Bei erneuter Anzeige analysiert die Seite < in <, > in >, wodurch die tatsächliche Eingabe des Benutzers wiederhergestellt wird. Was schließlich auf der Seite angezeigt wird, ist immer noch "< ;script>alert('test');", das JS-Injection-Angriffe vermeidet und Benutzereingaben wirklich anzeigt.

2: Wie entkommen?

1. Implementiert durch js

//转义 元素的innerHTML内容即为转义后的字符
function htmlEncode ( str ) {
 var ele = document.createElement('span');
 ele.appendChild( document.createTextNode( str ) );
 return ele.innerHTML;
}

//解析 
function htmlDecode ( str ) {
 var ele = document.createElement('span');
 ele.innerHTML = str;
 return ele.textContent;
}

2

function htmlEncodeJQ ( str ) {
  return $(&#39;<span/>&#39;).text( str ).html();
}

function htmlDecodeJQ ( str ) {
  return $(&#39;<span/>&#39;).html( str ).text();
}

3. Verwenden Sie

var msg=htmlEncodeJQ(&#39;<script>alert(&#39;test&#39;);</script>&#39;);

$(&#39;body&#39;).append(msg);

Für eine bessere Kompatibilität wird die Verwendung von jquery empfohlen.

Das obige ist der detaillierte Inhalt vonEine kurze Diskussion über HTML-Escape und Methoden zur Verhinderung von Javascript-Injection-Angriffen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!