ajax注入攻防实例

in #cn6 years ago

使用ajax进行留言,内容写完后,通过ajax提交内容,同时使用js把留言的内容添加到页面上来。浏览留言的时候也是通过ajax请求,然后再显示的.这样,如果有人在留言里写入了js语句,这结语句都会被执行.解决办法就是对这些特殊字符进行转义再显示出来.如果在jsp中使用jstl标签,就很简单了.直接使用<c:out value=”${r.content}”/>这样就行了,会自动进行转义,其中省略了参数escapeXML=”true”,这是默认的.所以说在显示这些用户提交的内容的时候不要用el表达式,因为el不会自动进行转义,用c:out比较好.
如果也是通过ajax请求,然后再显示的,那就用下面的方法.其实也很简单.
1: var html="< s c r i p t>alert('asdfasdf')</ s c r i p t>";
2: $("#content").text(html);那么会发生什么情况?
解决办法很简单,就是把这些特殊字符进行转义也就是<变成<>变成> 使用jquery对字符进行转义,这样就可以了 :
< h e a d>
< sc rip t>
var html="< s c r i pt>alert('asdfasdf') </ s ci pt>";
html=$("#x").text(html).html();
$("#content").append("

"+html+"
");
</ s c rip t>
</ h e ad>
< b ody>
<spanid="x"style="display:none">
<divid="content">
</ b ody>