XSS已經成為非常流行的網站攻擊方式,為了安全起見,儘量避免使用者的輸入。可是有些情況下不僅不避免,反而要求鼓勵輸入,比如寫部落格。部落格園開放性很高,可以執行手寫的JS。之前比較著名的例子就是,凡是看到某一篇文章的,都自動關注他。
如果避免跨站攻擊的話,我們就得對使用者的輸入,進行轉義。例如<script type='text/javascript'>alert('hello world')</script>。如果直接儲存這個字串的話,然後再輸出的話,就會執行JS了。我們需要將這個字串轉義成"<script type='text/javascript'>alert('hello world')</script>"。
轉義,就是一個個字元的匹配,然後轉換。看著不難,但是需要轉義的字元也不少。另外當字元數量大的時候,效率成為一個問題。下面我寫一個函式,讓瀏覽器底層幫我們做到。
function stringEncode(str){ var div=document.createElement('div'); if(div.innerText){ div.innerText=str; }else{ div.textContent=str;//Support firefox } return div.innerHTML; }