JS 脚本攻击
有的时候页面中会有一个输入框, 用户输入内容后会显示在页面中, 类似于网页聊天应用. 如果用户输入了一段 JS 脚本, 比例:, 页面会弹出一个对话框, 或者输入的脚本中有改变页面 JS 变量的代码则会时程序异常或者达到跳过某种验证的目的. 那如何防止这种恶意的 JS 脚本攻击呢? 通过 html 转义能解决这个问题.
一: 什么是 HTML 转义?
HTML 转义是将特殊字符或 HTML 标签转换为与之对应的字符. 如:< 会转义为 <> 或转义为 > 像 "", 即避免了 JS 注入攻击又真实的显示了用户输入.
二: 如何转义?
1, 通过 JS 实现
2, 通过 jQuery 实现
3, 使用
- var msg=htmlEncodeJQ('');
- $('body').append(msg);
建议使用 jQuery 实现, 因为有更好的兼容性
来源: https://www.2cto.com/kf/201809/780376.html