XSS安全漏洞的防范

2023-11-18

XSS安全漏洞

通过URL带入的，这种带入主要是前端解析url中的参数，并对数参数执行了innerHTML 或者 html 或者 append 操作。在将参数html()或者append()到html文件中时，会执行其中的js代码，被错误用户获取到cookie等信息。

示例：

原始链接 ： https://xx.xxx.com/efly.html?link=cc
被XSS注入以后的链接 ： https://xx.xxx.com/efly.html?link=eeec<img src=1 οnerrοr=alert(document.cookie)>

解决

使用正则匹配去除某些字符串、过滤域名
function filterXss(str, regExp){
  // let regex = /<(S*?)[^>]*>.*?|<.*? />/gi;
  // 去除包含<>内容的，防止xss漏洞
  let filterValue = str.replace(/<.*?>/g,'');
  // 去除<开头类型的xss漏洞
  filterValue = str.replace(/<+.*$/g,'');

  if(regExp && !regExp.test(filterValue)){
    filterValue = '';
  }
  return filterValue;
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

前端

XSS安全漏洞的防范的相关文章

【Pytorch深度学习实战】（11）变分自动编码器（VAE）

大家好我是Sonhhxg 柒希望你看完之后能对你有所帮助不足请指正共同学习交流个人主页 Sonhhxg 柒的博客 CSDN博客欢迎各位点赞收藏留言系列专栏机器学习 ML 自然语言处理 NLP 深度学习 DL fore
Windows server 2019搭建证书服务器

1 安装服务 2 选择角色服务 3 配置CA服务器指定凭据选择要配置的角色服务选择CA的设置类型指定CA类型指定私钥类型指定证书有效期确认整体配置确认后就可以开始配置我们的CA服务器 4 配置完成后申请证书打开IIS 里
以后不在：CSDN写博客了

以后不在CSDN写博客了去寻找一个有人情味的地方老洋

随机推荐

JAVA 练习

错题回顾 1 运行如下代码 class COne public void f System out println COne f class CTwo extends COne public void f System out printl
maven 打包带版本号_maven实现打包带源代码的jar包

实现方法一 pom文件添加以下及节点 src main java 说明默认的资源文件夹是src main resource 此方法修改了资源文件夹让你默认的资源文件夹变成了src main java文件夹而这个文件夹在maven中是默
【热门框架】Maven怎样进行配置文件管理？有什么好处？

Maven可以通过使用resources元素和filters来进行配置文件管理这样可以方便地管理项目中的配置文件避免重复和冗余提高可维护性和可扩展性在Maven的pom xml文件中可以使用resources元素来指定项目中的资源
TP5返回参数，封装方法jsonReturn

调用jsonReturn 生成调账单状态获取 public function getStatusCreateDebugBill endStatus Paas request sim finance statement getStatusB
wordpress搭建网站

域名主机申请宝塔面板使用流程看以下这两个就够了 https blog csdn net weixin 45106434 article details 108894407 https blog csdn net qq 44721831
SimpleFOC无刷电机平衡小车

前言本科毕业于自动化期间学习了各种电机运动控制原理自动控制原理但是只会考试而未究其理最近接触到simplefoc这个基于arduino的开源无刷电机驱动库想正好借此机会将本科学到的内容用于实际于是就有了这个小项目基于无刷电机
Ubuntu——统计目录下文件数量的方法

统计当前目录下文件的个数不包括目录 ls l grep wc l 参考文章 Linux 统计目录下文件数量的方法
scrapy保存、中断、继续执行爬虫程序

在scrapy文件中的custom settings写入JOBDIR即可比如 JOBDIR jobs baidu news baidu news这个位置就是当程序停止爬虫的时候当前的运行状态就会记录在这个文件中当再次爬取时会接着保存的状
已知a.txt文件中的内容为"AAbcdea22dferwplkCC321ou1", 请编写程序读取该文件内容,要求去掉重复字母(区分大小写), 并按照自然排序顺序后输出到b.txt文件中。

package copy1 import java io BufferedReader import java io BufferedWriter import java io FileInputStream import java io
2020美赛F奖论文（四）：模拟退火算法驱动的结构策略设计

上接 2020美赛F奖论文三足球团队指标和基于机器学习的球队表现预测全文 2020美赛F奖论文一摘要绪论和模型准备 2020美赛F奖论文二传球网络模型 PNM 的建立和影响因子分析 2020美赛F奖论文三足球团队指标和基
计算机网络（1）——概念、组成、功能和分类

文章目录 0 总揽全局 1 计算机网络的概念 2 计算机网络的功能 3 计算机网络的组成 4 计算机网络的分类视频来源 https www bilibili com video BV19E411D78Q p 1 0 总揽全局 1 计算机网
强烈推荐Linux深入学习必读的几本书

2012 10 01 21 00 40 成为一名精通 Linux程序设计的高级程序员一直是不少朋友孜孜以求的目标根据中华英才网统计数据北京地区 Linux 程序员月薪平均为 Windows程序员的 1 8 倍 Java 程序员的 2 6
sql语句中关于1 and 1=2详解

在通关sqli labs的时候我经常会遇到这么一个问题那就是 id 1 和 id 1 and 1 2 的查询结果是一致的我一直以来都很疑惑然后寻求了很多文章终于解决了我的问题我们将其放在sqlyog里面去讲解我先给你们展示一下
Shell监控jvm发短信

Shell脚本 jstat crontab curl 监控JVM发送短信 bin bash 定时监控本机器下所有java应用的 JVM信息定时任务配置 crontab e 写入如下 5分钟执行一次检测 5 home admin monit
【H5】 svg动画旋转属性与虚线属性

svg 动画旋转 transform rotate angle x y 不要写在style里面 angle 旋转角度 x y旋转中心绘制虚线 stroke dasharray a b a b c d 旋转属性 transform rot
立陶宛央行抢跑数字货币背后：前瞻的区块链战略中国已有企业布局

7月2日据路透社报道立陶宛将在下周开始预售2 4万枚由央行发行的数字货币该名为LBCoin的数字货币基于区块链技术生产立陶宛成为是欧盟国家中第一家正式发行央行数字货币的地区不是2015年就开始研究央行数字货币的英国不是今年2月试
人工智能芯片未来发展前景如何？

随着深度学习技术的快速发展以及互联网和云计算时代海量数据和高效计算能力的支撑计算机视觉技术语音技术自然语言理解技术等人工智能技术取得了突破性进展并解锁多个行业的人工智能场景产生了巨大的商业价值驱动了人工智能行业的发展同时伴
TEA系列加解密算法详解

文章目录 TEA系列概述 TEA算法介绍 TEA加密过程 C语言实现 XTEA算法介绍 XTEA加密过程 C语言实现 XTEA算法介绍 XXTEA加密过程 C语言实现参考 TEA系列概述 TEA算法是由剑桥大学计算机实验室的David W
python 序列化_python怎么序列化

pickle模块 json模块 1 把变量从内存中变成可存储或传输的过程称之为序列化 Python中叫pickling 其他语言中也被称为serialization marshalling flattening等都是相同的意思 2 序列
XSS安全漏洞的防范

XSS安全漏洞通过URL带入的这种带入主要是前端解析url中的参数并对数参数执行了innerHTML 或者 html 或者 append 操作在将参数html 或者append 到html文件中时会执行其中的js代码被错误用户获

XSS安全漏洞的防范

XSS安全漏洞的防范 的相关文章

随机推荐

热门标签

XSS安全漏洞的防范的相关文章