js注入问题,页面展示问题

js注入问题,这段js代码能在页面显示出来,是怎么做到的?望大神请教!没有用到文本编辑器,
即使用到web编辑器,转译了js代码,用类似于WebScarab这样的软件更改请求内容
,插入到数据库。页面查询数据库展示的时候也会出问题,望大神请教图片说明

3个回答

这就是js注入,这种文本被浏览器解析后会被识别为script执行。

将<>替换为对应的实体对象<和>

showbo
支付宝加好友偷能量挖,胡杨等着我的招呼 回复tianxiaxing19888: 所以写入的时候就直接替换了。。放textarea可能会被杀毒软件报xss攻击,虽然无大碍。。~
5 年多之前 回复
tianxiaxing19888
tianxiaxing19888 回复showbo: 客户端这种方式会通过WebScarab这种类似软件绕过去,更改代码后,直接请求后台代码,数据库添加的还是没替换的js代码,我感觉还是从服务器端去替换最安全!主要我们项目都完成的差不多了,我写个后台替换方法,然后每一个模块当中的增加,修改去掉,这样感觉太麻烦了,每一个增加,修改都得去调。。。。。
5 年多之前 回复
showbo
支付宝加好友偷能量挖,胡杨等着我的招呼 回复tianxiaxing19888: jQuery的DEMO:<script type="text/javascript" src="http://ajax.aspnetcdn.com/ajax/jQuery/jquery-1.4.2.min.js"></script> <textarea><script>alert(123)</script></textarea> <textarea><script>alert(123)</script></textarea> <script> $('textarea').replaceWith(function () { return this.value.replace(/</g, '&lt;').replace(/>/g, '&gt;') }); </script>
5 年多之前 回复
showbo
支付宝加好友偷能量挖,胡杨等着我的招呼 回复tianxiaxing19888: 写入的时候进行替换就好了,这个有什么麻烦的。。将写入接口增加个替换功能。当然你也可以在客户端做处理,将数据放入textarea容器里面,然后js获取textarea的value执行替换后将textarea替换为替换的内容
5 年多之前 回复
tianxiaxing19888
tianxiaxing19888 将<>替换为对应的实体对象&lt;和&gt;我们现在项目已经开发的差不多了,我本来打算用过滤器去过滤替换,但领导说这样太好性能;我打算写一个公共方法,去判断替换,这样往数据库添加数据的方法上得调我的方法,领导说这样太麻烦;所以我现在想不起神马好方法了,望指教
5 年多之前 回复
showbo
支付宝加好友偷能量挖,胡杨等着我的招呼 靠。。怎么实体对象显示出来了,垃圾编辑器。。该编码的不编码,瞎搞。。将<>替换为对应的实体对象&lt;和&gt;
5 年多之前 回复

一般这种script是不让插入数据库的,即使插入也需要进行编码。

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问
相关内容推荐