使用javascript在Html页面上实现XSS预防_Javascript_Html_Xss

使用javascript在Html页面上实现XSS预防

javascript html

使用javascript在Html页面上实现XSS预防,javascript,html,xss,Javascript,Html,Xss,如何使用javascript（而非jsp页面）转义表单的文本框内容以避免xss。提交表单时，必须在页面上正确重新编辑它。使用document.appendChild、document.createTextNode和friends而不是属性（例如innerHTML）将文本插入文档接受原始HTML的。使用document.appendChild、document.createTextNode和friends将文本插入文档，而不是使用接受原始HTML的属性（如innerHTML） “使用documen

如何使用javascript（而非jsp页面）转义表单的文本框内容以避免xss。提交表单时，必须在页面上正确重新编辑它。

使用

document.appendChild

、

document.createTextNode

和friends而不是属性（例如

innerHTML

）将文本插入文档接受原始HTML的。

使用

document.appendChild

、

document.createTextNode

和friends将文本插入文档，而不是使用接受原始HTML的属性（如

innerHTML

）

“使用document.appendChild将文本插入文档， document.createTextNode和朋友，而不是属性（例如 innerHTML）接受原始HTML。“

正如昆廷所说，或者，使用现有的文本框，使用

值

属性：

textObject.value="value"

“使用document.appendChild将文本插入文档， document.createTextNode和朋友，而不是属性（例如 innerHTML）接受原始HTML。“

正如昆廷所说，或者，使用现有的文本框，使用

值

属性：

textObject.value="value"

请注意，只要数据完全存储在客户端，就没有XSS风险。一旦您将数据发送到服务器，服务器存储数据并将其重新显示给另一个终端用户，那么就存在XSS风险。因此，可以使用JSP中的

fn:escapeXml（）

，因为它是重新显示它的服务器。另请参见上一个问题的答案（其中我还提供了另一个问题的链接，如何使用JS解决它…）完全客户端解决方案存在一些风险。即使客户端没有从URI中提取数据，用户可能会无辜地键入（或复制/粘贴（hello Facebook垃圾邮件））一些危险的内容。我已将您未注册的帐户与您已注册的帐户合并。现在，您可以在提供的答案下留下评论，编辑您的问题，并（最终）接受对您帮助最大的答案。感谢您使用堆栈溢出！：）请注意，只要数据完全存储在客户端，就没有XSS风险。一旦您将数据发送到服务器，服务器存储数据并将其重新显示给另一个终端用户，那么就存在XSS风险。因此，可以使用JSP中的

fn:escapeXml（）

，因为它是重新显示它的服务器。另请参见上一个问题的答案（其中我还提供了另一个问题的链接，如何使用JS解决它…）完全客户端解决方案存在一些风险。即使客户端没有从URI中提取数据，用户可能会无辜地键入（或复制/粘贴（hello Facebook垃圾邮件））一些危险的内容。我已将您未注册的帐户与您已注册的帐户合并。现在，您可以在提供的答案下留下评论，编辑您的问题，并（最终）接受对您帮助最大的答案。感谢您使用堆栈溢出！：）如果textbox已经存在，并且我想在onsubmit.pls上保存内容。如果您想将其转义以传输到服务器，以便服务器在页面上显示（而不是在传输前显示在当前页面上），则必须防止服务器上出现XSS。您不能要求客户端阻止客户端向您发送坏数据，因为您无法控制（因此信任）客户端。如果文本框已经存在，并且我想在onsubmit.pls上删除内容，如果您想将其转义以传输到服务器，以便服务器在页面上显示，则（并且不是为了在传输前显示在当前页面上）那么您必须防止服务器上的XSS。您不能要求客户端阻止客户端向您发送坏数据，因为您无法控制（并因此信任）客户端。