在任何被扫描出来有XSS风险的对象,代入类似下列语法,把恶意的字符串去除掉:
这边的情况是a.text会接收到网页上来自使用者的输入的任何文字,怕a.text里面会有恶意的javascript
a.text = a.text.replace(/&/g, ‘&‘).replace(//g, ‘>‘).replace(/"/g, ‘"‘).replace(/‘/g, ‘'‘).replace(///g, ‘/‘);
参考数据:
XSS prevention and .innerHTML
https://stackoverflow.com/questions/30661497/xss-prevention-and-innerhtml/30707806#30707806
原文:大专栏 [Javascript]在javascript端防范XSS攻击
原文地址:https://www.cnblogs.com/chinatrump/p/11496442.html
时间: 2024-08-05 12:05:12