美文网首页
HtmlEncode和JavaScriptEncode(预防XS

HtmlEncode和JavaScriptEncode(预防XS

作者: raincoco | 来源:发表于2017-03-15 18:03 被阅读253次

    在数据添加到DOM时候,我们可以需要对内容进行HtmlEncode或JavaScriptEncode,以预防XSS攻击。

    JavaScriptEncode

    使用“\”对特殊字符进行转义,除数字字母之外,小于127的字符编码使用16进制“\xHH”的方式进行编码,大于用unicode(非常严格模式)。

    HtmlEncode

    将字符转换成HTMLEntites,以对抗XSS。

    这些编码后的内容都能在页面上显示正常。

    番外

    还有人弄了简单HtmlEncode,有两种方式。

    1. 用浏览器内部转换器实现html转码(但我觉得这种方式有风险的,因为内部转换器可能有漏洞)。

    2. 只转一部分html字符(这种方式不完整)。

    代码参考:

    http://www.cnblogs.com/lovesong/p/5211667.html

    相关文章

      网友评论

          本文标题:HtmlEncode和JavaScriptEncode(预防XS

          本文链接:https://www.haomeiwen.com/subject/rpcrnttx.html