87,907
社区成员
发帖
与我相关
我的任务
分享网站防注入攻击,求指导。
网站如何预防注入攻击,脚本语言攻击?需要怎么配置?或从那些方面入手。我现在只做了一个简单的Filter,把几个关键的字符验证一下。可是因为网站里面使用了富文本编辑器,怕限制的字符太多,会和这个编辑器有冲突。求大神指导指导。
...全文
请发表友善的回复…
发表回复
Go 旅城通票 2014-05-22
- 打赏
- 举报
替换script标签,on事件替换掉,替换掉javascript:关键字
<textarea id="ta" rows="6" cols="50">
<div onclick="alert('1')">a</div>
<script type="text/javascript">alert(123)</script>
<a href="javascript:alert(123)"></a>
<iframe src="javascript:alert(23)"></iframe>
</textarea>
<script>
var s = document.getElementById('ta').value;
s = s.replace(/<(\/?script)([^>]*)>/gi, '<$1$2>'); //script
s = s.replace(/<([^>]+)>/g, function ($0) { return $0.replace(/\s*on([a-z\d]+)/ig, ' $1') }); //替掉on
s = s.replace(/\bjavascript\s*:/gi, '');//javascript:
document.getElementById('ta').value = s;
</script>
未知数 2014-05-22
- 打赏
- 举报
转义<、>,非必要不接受引号,带引号的用户输入不输出为html属性,不用eval,尽量不前端解析url参数,sql语句不用字符串拼凑的方式,用数据库sql语法的参数传递方式,
都注意的话基本不会有什么问题了
