关于用户输入恶意js

有些黑客经常闲得蛋疼的那别人的网站测试,利用一些输入的漏洞提交js代码,搞恶作剧。

对于freemarker视图的web应用,可以参考以下方法:

http://yshjava.iteye.com/blog/1870320

https://my.oschina.net/greki/blog/83246

如果是其他视图,可以在ajax提交前过滤一下代码:

function htmlEncodeJQ ( obj ) {
for (var p=0;p<obj.length;p++){
if(typeof(obj[p])!="function"){
obj[p].value=$(‘<span/>‘).text(obj[p].value).html();
}
}
return obj;
}

限制用户输入时非常有必要的,你永远不知道一个奇葩会有什么想法

时间: 2024-08-06 03:46:53

关于用户输入恶意js的相关文章

js正则实现用户输入银行卡号的控制及格式化

//js正则实现用户输入银行卡号的控制及格式化 <script language="javascript" type="text/javascript"> function formatBankNo (BankNo){ if (BankNo.value == "") return; var account = new String (BankNo.value); account = account.substring(0,22); /

js打印保存用户输入的内容

在用js打印局部页面时,遇到用户新输入的内容没能打印出来,经过观察,发现我采用的js打印方法是读取页面源代码,而用户输入的内容如果不将其写入到页面源代码中去,是打印不出来的,下面是我的解决方法: //获取标签自身 jQuery.fn.outerHTML = function (s) { return (s) ? this.before(s).remove() : $("<Hill_man>").append(this.eq(0).clone()).html(); }; St

JS实现图片验证码功能——用户输入验证码

copy以下两部分代码即可实现: 1.html <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <script src="./gVerify.js"></script> <style type="text/css"> body, html {

JS高级---案例:验证用户输入的是不是中文名字

案例:验证用户输入的是不是中文名字 [\u4e00-\u9fa5] <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>title</title> </head> <body> 请输入您的名字:<input type="text" value="&q

弹框提示用户输入

在很多页面,都会有提示用户输入账号和密码的弹框.并保障用户的良好体验效果. <html>   <head>   <title></title>   <meta http-equiv="content" content="text/html" charset="utf-8"/>   <style type="text/css">   body{   back

用户输入URL后发生了什么,以及优化问题

用户角度:1.打开浏览器2.输入URL3.按下回车4.浏览器呈现画面 当用户输入页面地址后,浏览器获得用户希望访问的地址,便向该站点服务器发起一系列的请求,这些请求不光包括对页面的请求,还包括对页面中许许多多组件的请求,比如图片(img).叠层样式表(css).脚本(javascript).内嵌页面(iframe).音频媒体文件等.接下来一段时间,浏览器等待服务器的响应以及返回的数据.待浏览器获得所有返回的数据后,经过浏览器本地的计算和渲染,最终呈现一幅完整的页面在用户眼前. 这个过程中,主要经

微信小程序—如何获取用户输入文本框的值

我们就拿简单常用的登录来举例子吧,先看最终效果图片 我不喜欢使用from表单提交,所以这里不采用表单提交的方式咯: 先看看html代码: login.wxml <view class="itemView">用户名: <input class="input" name="userName" placeholder="请输入用户名" bindinput ="userNameInput"/>

高端黑链SEO—恶意JS脚本注入访问伪随机域名

摘要:我们的服务器又出入侵事故了.有客户的 html 网页底部被插入了一段 js 脚本,导致访客打开网页时被杀毒软件警告网站上有恶意代码.在黑链 SEO 中这是常见的手法,但奇特的地方就在于我们这次捕获到的代码,会根据当前的时间戳生成一个(伪)随机域名,然后定... 我们的服务器又出入侵事故了.有客户的 html 网页底部被插入了一段 js 脚本,导致访客打开网页时被杀毒软件警告网站上有恶意代码.在黑链 SEO 中这是常见的手法,但奇特的地方就在于我们这次捕获到的代码,会根据当前的时间戳生成一个

Asp.Mvc中的text实现 辅助用户输入 灰色字体

在开发Web应用程序中经常需要用户在文本框输入信息,为了提高程序人性化设置以及用户体验效果常常需要在文本框中显示灰色字体辅助用户输入 如: "文本不能为空"是这样实现的,博主进行了适当的封装,建立简单MVC.NET应用程序的Demo引用Jquery的包,html代码 1 @{ 2 ViewBag.Title = "Index"; 3 } 4 <script src="~/Scripts/jquery-2.1.4.min.js"><