那些遇到过的问题

Javascript清理:插入可能的XSS html字符串的最安全的方法

Som*_*ody 5 javascript xss html-sanitizing

目前我正在使用这种方法与jQuery解决方案,以清除可能的XSS攻击字符串.

sanitize:function(str) {
    // return htmlentities(str,'ENT_QUOTES');
    return $('<div></div>').text(str).html().replace(/"/gi,'&quot;').replace(/'/gi,'&apos;');   
}
Run Code Online (Sandbox Code Playgroud)

但我觉得它不够安全.我错过了什么吗?

我在这里试过phpjs项目的htmlentities:http://phpjs.org/functions/htmlentities:425 /

但它有点被窃听并返回一些额外的特殊符号.也许这是旧版本?

例如:

htmlentities('test"','ENT_QUOTES');
Run Code Online (Sandbox Code Playgroud)

生产:

test&amp;quot;
Run Code Online (Sandbox Code Playgroud)

但应该是:

test&quot;
Run Code Online (Sandbox Code Playgroud)

你是如何通过javascript处理的?

Ole*_*kov 3

如果您的字符串应该是没有 HTML 格式的纯文本,只需使用.createTextNode(text)/assigning 到.data现有文本节点的属性。无论您放在那里什么,都将始终被解释为文本,不需要额外的转义。

归档时间:

查看次数:

16310 次

最近记录:

10 年,4 月 前
谷歌caja - 阻止恶意代码 1
更多相关链接
相关归档
如何将JavaScript数组信息导出到csv(在客户端)? 460
JavaScript - 替换字符串中的所有逗号 348
未捕获的TypeError:无法读取未定义的属性"msie" 138
如何确定页面中是否定义了JavaScript变量? 112
backbone.js - 事件,知道被点击的内容 96
在angular.js上使用HTML5 pushstate 84
在javascript中的hasOwnProperty 73
使用Javascript File API获取图像尺寸 49
使用Appium测试NativeScript应用程序 45
安全地转义原始SQL查询中的变量 1
难疑归档
AngularJS:服务与提供商vs工厂 3296
提高SQLite的每秒INSERT性能? 2880
.NET中的decimal,float和double之间的区别? 2015
喜欢构成而不是继承? 1538
在Python中反转一个字符串 1288
在调用instanceof之前需要进行空检查吗? 1287
如何按多列对数据帧进行排序? 1266
将JavaScript字符串转换为全部小写? 1260
同步检查Node.js中是否存在文件/目录 1113
在Ruby on Rails中对nil v.空v.空白的简要解释 1098