网站 XSS 防范措施 脚本

输入：

1. 文本框

function checkInput(){ var searchinput = document.getElementById("J_searchinput").value; //alert("searchinput=" + searchinput); var tmp = toTXT(searchinput); //alert(searchinput + "----" + tmp); if (tmp != searchinput) return false; } function toTXT(str){ var RexStr = //<|/>|/"|/'|/&/g str = str.replace(RexStr, function(MatchStr){ switch(MatchStr){ case "<": return "& lt;"; break; case ">": return "& gt;"; break; case "/"": return "& quot;"; break; case "'": return "& #39;"; break; case "&": return "& amp;"; break; default : break; } } ) return str; }

 

提交时的HTML 代码

<button type="submit" class="btn-confirmsearch" onclick="return checkInput();"></button>

 

输出：

2. 页面

 velocity 的配置

    <tool>
        <key>esc</key>
        <scope>application</scope>
        <class>org.apache.velocity.tools.generic.EscapeTool</class>
    </tool>

 

使用

 

$esc.html($exception.getMessage())<br/> 方法

参考 ：http://velocity.apache.org/tools/devel/generic/EscapeTool.html#url()