在数据添加到DOM时候,我们可以需要对内容进行HtmlEncode或JavaScriptEncode,以预防XSS攻击。
JavaScriptEncode
使用“\”对特殊字符进行转义,除数字字母之外,小于127的字符编码使用16进制“\xHH”的方式进行编码,大于用unicode(非常严格模式)。
HtmlEncode
将字符转换成HTMLEntites,以对抗XSS。
这些编码后的内容都能在页面上显示正常。
番外
还有人弄了简单HtmlEncode,有两种方式。
1. 用浏览器内部转换器实现html转码(但我觉得这种方式有风险的,因为内部转换器可能有漏洞)。
2. 只转一部分html字符(这种方式不完整)。
代码参考:
网友评论