首页 / HTML / PHPhtmlspecialchars不能防御前端innerHTML产生的XSS注入

PHPhtmlspecialchars不能防御前端innerHTML产生的XSS注入

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了PHPhtmlspecialchars不能防御前端innerHTML产生的XSS注入，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1723字，纯文字阅读大概需要3分钟。

内容图文

PHPhtmlspecialchars不能防御前端innerHTML产生的XSS注入

不要在JS里直接用innerHTML输出未经JS过滤的用户内容,
即使这些内容已经经过服务器端PHP的htmlspecialchars或者HTMLPurifier过滤.
比如下面的代码,页面将alert弹出字符串/xss/,因为JS会把变量中的Unicode字符\u003c和\u003e转换成<和>输出.

//

$xss = '\u003cimg src=https://www.gxlcms.com/1 onerror=alert(/xss/)\u003e';
//XSS
$xss = '\u003ca href=javascript:alert(String.fromCharCode(88,83,83))\u003eXSS\u003c/a\u003e';
header('Content-Type: text/html;charset=utf-8');
?>

$(#xss).append(xss)跟$("#xss").html(xss)输出的都是HTML.

解决方法:
http://segmentfault.com/q/https://www.gxlcms.com/10https://www.gxlcms.com/1000000406752https://www.gxlcms.com/1
你说的对,毕竟很多时候要把AJAX加载的数据用innerHTML添加到页面.
值得注意的是,innerHTML本质也是输出HTML,
所以我们可以在输出前用JS像PHP的htmlspecialchars那样
把特殊字符(&,",',<,>)替换为HTML实体(&"'<>).
或者干脆直接用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容.
Firefox不支持IE的innerText,但支持textContent.
StackOverflow上找到的两个实现:
function htmlspecialchars(str) {
return str
.replace(/&/g, "&")
.replace(/</g, "<")
.replace(/>/g, ">")
.replace(/"/g, """)
.replace(/'/g, "'");
}
function htmlspecialchars(str) {
var map = {
'&': '&',
'<': '<',
'>': '>',
'"': '"',
"'": '''
};
return str.replace(/[&<>"']/g, function(k) { return map[k]; });
}
其中g表示全局(global)替换的意思,也就是把字符串中的所有匹配的内容都进行替换.

不过JS模仿PHP的htmlspecialchars是一刀切的方法,数据将丧失HTML特性.
请教下,对于前端AJAX(PJAX)过来后的HTML数据大家是怎么过滤XSS输出的呢?

内容总结

以上是互联网集市为您收集整理的PHPhtmlspecialchars不能防御前端innerHTML产生的XSS注入全部内容，希望文章能够帮你解决PHPhtmlspecialchars不能防御前端innerHTML产生的XSS注入所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/205003.html

来源：【匿名】

【上一篇】HTML+CSS学习笔记（5）-与浏览者交互，表单标签【下一篇】PHP 和 HTML

更多 ►

【PHPhtmlspecialchars不能防御前端innerHTML产生的XSS注入】教程文章相关的互联网学习教程文章

pikachu--(htmlspecialchars、href和js输出)【图】

XSS-htmlspecialcharshtmlspecialchars()函数把预定义的字符转换为html实体预定义的字符：预防：可用的引号类型：(一般使用这个函数时候要指定类型)&转换为&amp ENT_COMPAT 默认，仅编码双引号“转换为&quot ENT_QUOTES 编码双引号和单引号（xss漏洞是因为指定类型时候的疏忽）‘转换为&#039 ENT_NOQUOTES 不编码任何引号<转换为&lt >转换为&gt 下面采用xss漏洞的测试...

PHP htmlspecialchars和htmlspecialchars_decode(函数)

PHP htmlspecialchars和htmlspecialchars_decode(函数)htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。函数原型：htmlspecialchars(string,quotestyle,character-set)预定义的字符是：& （和号）成为 &” （双引号）成为 "‘ （单引号）成为 < （小于）成为 <> （大于）成为 > htmlspecialchars_decode() 函数把一些预定义的 HTML 实体转换为字符（和htmlspecialchars相反）。函数原型：htmlspecialc...

php 去除html标记--strip_tags与htmlspecialchars的区别详解

php 去除html标记--strip_tags与htmlspecialchars的区别详解作者：字体：[增加减小] 类型：转载时间：2013-06-26 本篇文章是对php中去除html标记以及strip_tags与htmlspecialchars的区别进行了详细的分析介绍，需要的朋友参考下 strip_tags 　　去掉 HTML 及 PHP 的标记。　　语法: string strip_tags(string str);　　传回值: 字串　　函式种类: 资料处理　　内容说明　　本函式可去掉字串中包含的任何 HTML 及 PHP 的标记字串...

laravel 报错htmlspecialchars() expects parameter 1 to be string, object given【图】

翻译过来就是期望参数1是字符串　　意思就是说变量为数组，应以数组的方式输出　　@foreach($xxx as $k=>$y)　　　　{{$k}}{{$y}}@endforeach原文：https://www.cnblogs.com/junyi-bk/p/10283568.html

关于htmlspecialchars实体字符转码的问题【代码】

php对post过来的数据进行实体字符转码，我的页面编码是gb2312，刚开始是这样： $post = htmlspecialchars ( $post); 取到的$post值为空，但是有时候是好的（中文有时会出问题），不是一直这样。翻了一下php文档，The third argument charset defines character set used in conversion. The default character set is ISO-8859-1. Support for this third argument was added in PHP 4.1.0. 会不会是默认编码为iso-8859-1的原因...

php中htmlspecialchars()函数和addslashes()函数的使用和区别

在防止被注入攻击时，常会用到两个函数：htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。1）addslashes()作用及使用addslashes()通常用于防止sql注入，它可对通过get，post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义如：如变量$str=$_POST["str"];的值为：bb‘ or 1=‘1。通过addslashes()函数过滤后会变为：bb\‘ or 1=\‘1；2）htmlspecialchars()作用及使用htmlspecialchars...

php – htmlspecialchars&符号【代码】

<h3><?php echo $this->__('Details & Documents') ?></h3>以上打印为：详情& amp;文件什么是正确的语法,以便打印为：详细信息&文件？谢谢解决方法:html_entity_decode应该做你想做的事：<h3><?php echo html_entity_decode($this->__('Details & Documents')) ?></h3>虽然可能有针对此的Magento特定设置.

PHP中htmlentities()和htmlspecialchars()函数的区别【图】

在PHP中htmlentities()和htmlspecialchars()函数都可以将字符转换为HTML字符编码，那么它们之间有什么不同之处？下面本篇文章就来简单比较一下htmlentities()和htmlspecialchars()函数，让大家了解它们的区别是什么，希望对大家有所帮助。PHP htmlentities()函数htmlentities()函数是PHP中的一个内置函数，用于转换适用于HTML实体的所有字符，然后返回已编码的字符串。【视频教程推荐：PHP教程】注：htmlentities()函数转换适用于...

php把预定义的html实体转换为字符的函数htmlspecialchars_decode()

实例把预定义的 HTML 实体 "<"（小于）和 ">"（大于）转换为字符：<?php $str = "This is some <b>bold</b> text."; echo htmlspecialchars_decode($str); ?>上面代码的 HTML 输出如下（查看源代码）：<!DOCTYPE html> <html> <body> This is some <b>bold</b> text. </body> </html>上面代码的浏览器输出如下：This is some bold text.定义和用法htmlspecialchars_decode() 函数把一些预定义的 HTML 实体转换为字符。会被解码的 H...

php把预定义的字符转换为html实体函数htmlspecialchars()

实例把预定义的字符 "<" （小于）和 ">" （大于）转换为 HTML 实体：<?php $str = "This is some <b>bold</b> text."; echo htmlspecialchars($str); ?>上面代码的 HTML 输出如下（查看源代码）：<!DOCTYPE html> <html> <body> This is some <b>bold</b> text. </body> </html>上面代码的浏览器输出如下：This is some <b>bold</b> text.定义和用法htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。预定义的字符是：&...

有关字符串函数htmlspecialchars()的文章推荐10篇【图】

PHP中三组容易混淆的函数一、htmlentities() 和htmlspecialchars()1、htmlentities()1.1 功能：把字符转换为 HTML 实体。字符包括ASCII实体和ISO 8859-1实体(HTML实体对照表：http://www.w3school.com.cn/tags/html_ref_entities.html)1.2&nb1. 关于字符串函数addcslashes()的10篇文章推荐简介：PHP中三组容易混淆的函数一、htmlentities() 和htmlspecialchars() 1、htmlentities() 2. php htmlspecialchars(...

php中htmlspecialchars、strip_tags、addslashes函数的简单介绍

在网页程序开发中，htmlspecialchars、strip_tags、addslashes函数是最常见的，本篇文章将会分别来介绍这三个函数。1.strip_tags()函数strip_tags() 函数去除字符串中的 HTML、XML 以及 PHP 的标签。示例<?php $name="Hello <b>world!</b>"; $tags=strip_tags($name); echo $tags; ?>2.htmlspecialchars()函数htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。具体来说本函数会转化以下字符：& (和...

php去除html标记--strip_tags与htmlspecialchars的区别详解

strip_tags 　　去掉 HTML 及 PHP 的标记。　　语法: string strip_tags(string str);　　传回值: 字串　　函式种类: 资料处理　　内容说明　　本函式可去掉字串中包含的任何 HTML 及 PHP 的标记字串。若是字串的 HTML 及 PHP 标签原来就有错，例如少了大于的符号，则也会传回错误。而本函式和 fgetss() 有着相同的功能。 htmlspecialchars 　　将特殊字元转成 HTML 格式。　　语法: string htmlspecialchars(string string);　　...

php去除html标签函数——strip_tags和htmlspecialchars

1、strip_tags功能：去掉 HTML 及 PHP 的标记。语法: string strip_tags(string str);返回值: 字符串说明：本函式可去掉字符串中包含的任何HTML及 PHP 的标签。若是字符串的 HTML 及 PHP 标签原来就有错，例如少了大于的符号，则也会传回错误。注意：遇到提炼文字内容是，会出现这样的空格是无法通过上面的行数替换掉，这个时候需要单独使用str_replace进行特定替换 2、htmlspecialchars功能：将特殊字元转成 HTML 格式。语法: st...

trim、stripslashes、htmlspecialchars函数

通过 PHP 验证表单数据我们要做的第一件事是通过 PHP 的 htmlspecialchars() 函数传递所有变量。在我们使用 htmlspecialchars() 函数后，如果用户试图在文本字段中提交以下内容：<script>location.href(http://www.hacked.com)</script>- 代码不会执行，因为会被保存为转义代码，就像这样：<script>location.href(http://www.hacked.com)</script>现在这条代码显示在页面上或 e-mail 中是安全的。在用户提交该表单时，我们还要做两...

HTML - 技术教程分类

HTML 教程 HTML 简介 HTML 编辑器 HTML 基础 HTML 元素 HTML 属性 HTML 标题 HTML 段落 HTML 文本格式化 HTML 链接 HTML 头部 HTML CSS HTML 图像 HTML 表格 HTML 列表 HTML 区块 HTML 布局 HTML 表单 HTML 框架 HTML 颜色 HTML 颜色名 HTML 颜色值 HTML 脚本 HTML 字符实体 HTML URL HTML 速查列表 HTML 总结 XHTML 简介 HTML 媒体(Media) HTML 插件 HTML 实例 HTML 标签列表（功能排序） HTML 属性 HTML 事件 HTML 画布 HTML 音频/视频 HTML 颜色名 HTML 字符集 HTML ASCII HTML ISO-8859-1 HTML 符号 HTML 语言代码 html 全部

HTML - 最热教程

html5代码如何实现进度条功能？（示例）javascript中html字符串转化为jquerydo...HTML5实战与剖析之CSS选择器——getEle...html5中设置或返回音频/视频是否应该被...HTML5获取设备信息 jQuery打印指定区域Html页面并自动分页...jQuery+HTML5+CSS3制作支持响应式布局时...JS+HTML5实现上传图片预览效果完整实例...php删除html标签和标签内的内容的方法总...XMLHttpRequest中responseText如何获取...

首页 / HTML / PHPhtmlspecialchars不能防御前端innerHTML产生的XSS注入

PHPhtmlspecialchars不能防御前端innerHTML产生的XSS注入

内容导读

内容图文

内容总结

内容备注

内容手机端

【PHPhtmlspecialchars不能防御前端innerHTML产生的XSS注入】教程文章相关的互联网学习教程文章

HTML - 技术教程分类

HTML - 最新教程

HTML - 最热教程