Javascript 有关XSS（跨站点脚本）攻击的问题_Javascript

Javascript 有关XSS（跨站点脚本）攻击的问题

javascript

Javascript 有关XSS（跨站点脚本）攻击的问题,javascript,Javascript,在该页面的电子邮件中，我们有以下内容 please <a href="emaildisclaimer-Test.html?name=test&email=test@test.com" target="_blank">click here</a> regarding this event. 请关注此事件。当用户单击“单击此处”时，页面将重定向到 html页面。将在其中检索URL参数并显示。这里我面临的是XSS攻击的问题。谁能我对这个问题有想法。我们如何

在该页面的电子邮件中，我们有以下内容

please <a href="emaildisclaimer-Test.html?name=test&email=test@test.com" target="_blank">click here</a> regarding this event.

请关注此事件。

当用户单击“单击此处”时，页面将重定向到 html页面。将在其中检索URL参数并显示。这里我面临的是XSS攻击的问题。谁能

我对这个问题有想法。我们如何从JavaScript中防止这种情况发生？

由于您没有处理任何用户提交的内容，我不认为您会有遭受XSS攻击的风险。

从您的评论中：

一旦它被重定向，它将被解析并以HTML显示。URL传递参数被编辑并附加脚本标记（

）。我们如何防止在外部附加参数

只要用户提供的内容只显示给同一用户，就不存在XSS问题。他们可以自己动手，但没有其他人

如果您接受最终用户的内容以显示给其他用户，那么您当然需要对XSS心存疑虑

我从用户那里看到了内容的两种可能用途：

不允许他们使用任何HTML
允许他们提供（一些）HTML

不允许他们使用任何HTML

如果您希望最终用户提供不允许为HTML的信息，只需确保所有

都不存在xss攻击的危险，因为如果有人更改href属性，它只会在浏览器中更改，其他用户对此不会有任何线索。我们如何保护数据不受href属性的影响？？。一旦它被重定向，它将被解析并以HTML显示。URL传递参数被编辑并附加脚本标记（）。如何防止在外部追加参数？谢谢回复，我已经在java脚本中通过Base64对字符串进行了编码。我们仍然面临XSS攻击的问题。@Manjunatha：我想你可能错过了我的编辑（在我看到你对这个问题的评论之后）。上面提到的是你所说的吗？是的，我对这个问题有一些疑问，但现在已经澄清了。非常感谢@曼朱纳塔：不用担心，很乐意帮忙。
// From user
str = "<img src='javascript:malicious();'>";

// Disable
str = str.replace(/&/g, "&amp;").replace(/</g, "&lt;");

emaildisclaimer-Test.html?name=test&email=test@test.com
emaildisclaimer-Test.html?r=NzZiNjFlZDAtZmRlMi0xMWUzLWEzYWMtMDgwMDIwMGM5YTY2