0
我从输入型这样的值:防止输入型攻击
var num = $(document).find('#num').val();
我试图避免用下面的代码XSS攻击的输入类型:
num = jQuery(num).text().replace('script', '') ;
但它不工作。还有其他想法?
Q
防止输入型攻击
A
回答
1
即使此代码的工作,你不能避免使用javascript XSS攻击。如果你想这样做:$(document).find('#num').val($(document).find('#num').val().replace('script',''));
现在你有价值在你输入哪些脚本字符串被删除,但如果有人在你的输入中写入<scscriptript>?在中间删除脚本字符串后,会出现另一个脚本标记。你必须在服务器端检查你的输入。
相关问题
- 1. 防止xss攻击/注入
- 2. 防止MDX注入攻击
- 3. 防止XSS攻击
- 4. 防止XSS攻击
- 5. 防止命令行注入攻击
- 6. 防止SQL注入和XSS攻击
- 7. pgdb防止注入攻击吗?
- 8. 如何防止XXE攻击
- 9. 防止数据库攻击
- 10. 防止Javascript和XSS攻击
- 11. CakePHP的:防止XSS攻击
- 12. Json.Net Wrapper防止Xss攻击
- 13. angularjs防止XSS攻击
- 14. 防止重复blockchain攻击
- 15. Java控制台输入验证以防止DOS攻击
- 16. 阻止IP地址,防止DoS攻击
- 17. Android防止人为攻击SSL中间人攻击
- 18. 防止类似于PHP的DoS攻击的蛮力攻击
- 19. 如何防止或阻止拒绝收入攻击?
- 20. 防止SQL/XXS攻击的类?
- 21. 如何防止二阶SQL攻击?
- 22. 如何防止重播攻击?
- 23. 防止对JBoss 4.2的XXE攻击4.2
- 24. 在grails中防止CSRF攻击?
- 25. href安全,防止xss攻击
- 26. 如何防止黑客攻击tomcat?
- 27. $ _SERVER ['REQUEST_URI'] - 防止XSS和其他攻击
- 28. 防止ASP.NET MVC中的CSRF攻击
- 29. 如何防止以下CSRF攻击Oauth2?
- 30. Web安全:防止CSRF攻击
如果用户应该在''#num''键入一些HTML控制你可能需要一个完整的HTML禁制库。它在用户输入不应该是HTML,就不要试图去执行它本身。 –
一个例子:输入'RM -rf/*'在一个textarea并不意味着任何危险。但是,如果您在shell中执行原始textarea输入,它可能会造成伤害。 –