js注入攻擊

注入攻擊一般指用戶輸入數(shù)據(jù)導致頁面乃至整個網(wǎng)站、服務(wù)器異常的情況。
直接看一個例子:

<html>
<head>
    <title>Test</title>
    <meta charset="utf-8">
</head>
<body>
    <p>
        <script type="text/javascript">
            for (var i = 100; i >= 0; i--) {
                alert('著了'+i);
            }
        </script>
    </p>
</body>
</html>

頁面上的<script>被無情的執(zhí)行了。試想,如果提供一個表單輸入,提供用戶評論使用,假設(shè)評論的內(nèi)容就是<p>標簽中的整個<script>代碼,那么所有正在瀏覽該評論頁面的用戶都會被小小的alert()擊潰。
所以,我們在接受到來自用戶輸入的的信息時,需要進行防注入攻擊處理,比如上面這種情況,我們就需要將<>這種HTML實體字符進行轉(zhuǎn)譯再輸出到頁面。

<html>
<head>
    <title>Test</title>
    <meta charset="utf-8">
</head>
<body>
    <p>
        &lt;script type="text/javascript"&gt;
            for (var i = 100; i >= 0; i--) {
                alert('著了'+i);
            }
        &lt;/script&gt;
    </p>
</body>
</html>

打開就是這種效果:

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

友情鏈接更多精彩內(nèi)容