防御XSS攻击-encode用户输入内容的重要性

一、开场先科普下XSS

跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。

二、直接上代码实例

在线演示：https://wall-wxk.github.io/blogDemo/2017/01/19/noEncode.html

    
    提交
    
hello world!

    

实例解释：这是网站生产环境抽离出来的简化代码。在公司的产品中，有很多输入框提供给用户输入一些自定义字符串。方便用户的同时，也会招惹一些黑客过来捣乱。最简单的就是xss注入攻击。

比如上面的实例，我在输入框直接输入内容

wall

，得到的结果如下：

这种结果，肯定不是产品所想要的。

---

进一步鼓捣，输入内容

如果这段字符串是保存在数据库里。那么下次用户刷新这个页面，alert方法将会被执行，也就是会弹出 wall 这个信息。
因为能插入js代码，那这个想象空间就很大了，几乎很多事都能干。
最简单的就是用js获取访问当前网站的用户的document.cookie，然后ajax发送到信息收集网站，那么用户就等于在裸泳了。

三、解决方式-对字符串进行转义后再输出

• 1.在存储进数据库的时候，对字符串进行encode
  这种方式可以解决一部分问题，但是不够灵活。因为字符串有可能输出在html，也有可能输出在JavaScript代码中。
• 2.在使用字符串的时候进行encode
  这种方式是根据使用场景，在前端输出时，按需求进行encode，灵活应对。

四、直接上encode方法

encode方法

代码的作用是把对应的特殊符号，转换为转义字符，而不是直接插入html中。
这样，不管用户输入什么内容，都可以直接转换成字符串输出在html中。

---

比如再次输入内容 ，得到的结果如下：

perfect！直接把xss漏洞给堵上了！

五、科普下转义字符

更多内容，可以查看HTML转义字符表

---

最后，附上完整的测试代码
(由于markdown解析问题，对转义字符进行更改，所以只能贴图。需要完整代码的，可以上我的博客园文章拉取：http://www.cnblogs.com/walls/p/6259632.html)

在线演示：https://wall-wxk.github.io/blogDemo/2017/01/19/xss.html

测试代码

---

喜欢我文章的朋友，扫描以下二维码，关注我的个人技术博客，我的技术文章会第一时间在博客上更新

点击链接wall的个人博客

wall的个人博客