Smiley解析器和xss注入保护
Smiley parser and xss injection protection
我想做一个简单的聊天,并且,在开始时,只需解析':)'并在附加消息之前添加图像。下面是我的尝试:
var string = "The message the user wrote";
var message = $('<div class='"chat-message'"></div>').text(string);
message.html(message.text().replace(':)', '<img src="smile.png"/>')).appendTo('#chat-messages');
好的,它是有效的,但是让我们想象一下有人发送了这个:
<img src="Some illicite picture"/>
它只会显示图片,我不希望用户在页面中注入HTML代码。
那么,我该怎么做呢?
您应该在服务器端转义HTML字符,因为可以绕过Javascript。在PHP中,这是通过htmlspecialchars函数完成的,所以:$newText = htmlspecialchars($oldtext);
相关文章:
- 使用Objective-C的JavaScript注入方法
- 正在注入包含JS的HTML
- 迷你$provider注入茉莉花和角
- Angularjs工厂注入错误
- 通过命令行/批处理文件打开页面时,将javascript代码注入Google Chrome
- 如何在Ionic Android中将Javascript注入到web视图中
- 如何防止在使用.val()时引入XSS漏洞
- Android Webview通过Javascript注入CSS
- Meteor:在启动时将html注入客户端文件
- 注入工厂时,Angular停止工作
- 注入Javascript以选择具有指定值的所有单选按钮
- XSS通过地址栏注入
- 如何照顾CSRF&单页应用程序中不使用cookie的XSS攻击
- 注入angularjs指令
- Rails:如何在浏览器中显示动态html内容,而不会对其进行转义,也不会引起XSS攻击
- Ember服务在注入组件并在计算属性中使用后是未定义的
- AngularJS依赖注入定时问题
- 连接为什么/如何导致XSS或SQL注入漏洞
- 当注入点是style属性的值时,XSS攻击是否可能发生?
- Smiley解析器和xss注入保护