防js代碼注入

1. 什麼是 JavaScript 注入攻擊？

每當接受用戶輸入的內容並重新顯示這些內容時，網站就很容易遭受 JavaScript 注入攻擊。讓我們研究一個容易遭受 JavaScript 注入攻擊的具體應用程序。假設已經創建了一個客戶反饋網站。客戶可以訪問網站並輸入對產品的反饋信息。當客戶提交反饋時，反饋信息重新顯示在反饋頁面上。

舉個例子

首先， 我在某個輸入框中輸入js代碼

<script type="text/javascript"> alert("我是javascript代碼！");</script>

然後發送都後臺，傳送的數據是這樣的

存到數據庫是這樣的

最後一步，就是存到數據庫後，前臺頁面再去取數據的時候，就··········

執行你的js代碼了。
我現在只是做測試例子，不是惡意攻擊。外面的世界太複雜，說不定哪天你的網站就中獎了，所以還是得處理下這塊。

方法

利用jq做還是蠻方便的

        /*對html標籤進行轉義*/
        function htmlEncode(value){   //value爲輸入的值
            return $('<span/>').text(value).html();     //.這裏的span標籤沒啥含義，換着其他標籤也可以，div，p a都行
        }
         /*對html標籤進行反轉義*/
        function htmlDecode(value){  
            return $('<span/>').html(value).text();     
        }

直接上例子，看的清楚些。

將` <script type="text/javascript"> alert("我是javascript代碼！");</script>` 轉義後的結果

然後把轉義後的字符串發給後臺就好了。

等到前端要取這條數據的時候，你要是顯示
<script type="text/javascript"> alert("我是javascript代碼！");</script>
這樣的話，直接把後臺返回的數據，

var str = "<script type="text/javascript"> alert("我是javascript代碼！");</script>"
$("#container").html(str);// 直接html，不需要再反轉義哈

測試代碼附上:

<!DOCTYPE html>
<html>
<head>
    <title></title>
    <meta charset="utf-8">
</head>
<body>
<style type="text/css">
    #textarea {
        width: 500px;
        height: 200px;
        margin: 0 auto;
        display: block;
    }
    .div {
        width: 800px;
        margin: 0 auto;
    }
</style>
    <textarea id="textarea">    
    </textarea>
    <!-- <script type="text/javascript"> alert("我是javascript代碼！");</script> --> 
    <div class="div">
        <button id="re">轉義</button> <button id="re2">反轉義</button>
        <h4>轉義</h4>
        <p id="show"></p>
        <h4>反轉義</h4>
        <p id="show2"></p>
    </div>
<script src="https://cdn.bootcss.com/jquery/3.2.1/jquery.min.js"></script>
<script type="text/javascript">
    (function(){
        function htmlEncode(value){  
            return $('<span/>').text(value).html();        
        }

        function htmlDecode(value){  
            return $('<span/>').html(value).text();     
        }
        $("#re").click(function() {
            var $textarea = $("#textarea");
            var $show = $("#show");             
            var str = $textarea.val();
            str = htmlEncode(str);
            $show.text(str);
        });
        $("#re2").click(function() {
            var $textarea = $("#textarea");
            var $show = $("#show2");
            var str = $textarea.val();
            str = htmlDecode(str);
            $show.text(str); //要注意這裏哈。text()和html方法的不同
        });
    })();
</script>
</body>
</html>

注意

一定要注意text方法和html方法的不同哈

這裏是 html標籤轉義和反轉義 http://blog.csdn.net/wx11408115/article/details/78202243

說得不對或不好的地方，請指教哈，相互學習。