针对XSS跨站脚本漏洞 javascript 示例

针对XSS跨站脚本漏洞,建议过滤”<” 、”>” 并将用户输入放入引号间,基本实现数据与代码隔离;过滤双引号防止用户跨越许可的标记,添加自定义标记;过滤TAB和空格,防止关键字被拆分;过滤script关键字;过滤&#,防止HTML属性绕过检查。

建议过滤出所有以下字符:

[1] |(竖线符号)

[2] & 符号)

[3];(分号)

[4] $(美元符号)

[5] %(百分比符号)

[6] @at 符号)

[7] '(单引号)

[8] "(引号)

[9] \'(反斜杠转义单引号)

[10] \"(反斜杠转义引号)

[11] <>(尖括号)

[12] ()(括号)

[13] +(加号)

[14] CR(回车符,ASCII 0x0d

[15] LF(换行,ASCII 0x0a

[16] ,(逗号)

[17] \反斜杠)


示例:



function ValidateValue(textbox) {
      var IllegalString = "[`~!#$^&*()+=|{}':;',\\[\\].<>/?~!#¥……&*()——|{}【】‘;:”“'。,、?]‘’";
      var textboxvalue = textbox.value;
      var index = textboxvalue.length - 1;


      var s = textbox.value.charAt(index);


      if (IllegalString.indexOf(s) >= 0) {
          s = textboxvalue.substring(0, index);
          textbox.value = s;
      }


  }



这样就OK了!




你可能感兴趣的:(javascript)