在web的开发的开发过程中,前端总是在处理后端打的各种变量,变量可以包含着中的各种各样的字符,如果不对这些字符进行”特殊“处理的话,轻者导致页面不正常的显示,潜入了其他的东西,亦即页面挂了,或者弹出不应该弹出的东西,这些都是我们不期望看到的,重者可能导致密码泄露,网站的访问量突然猛增,服务器挂掉。那么怎么做好web前端安全编码规范整合。
网络安全小知识:
1)直接显示在页面上,eg:<div>{%username%}</div>,<input type="text" value="{%username%}"/>
2)在script标签中,eg:<script>var test = '{%username%}';var test="{%username%}"</script>
3)在页面事件中,eg:<div onclick="alert('{%username%}')">334455</div>
4)在innerHTML的语境中,eg:<div id="test"></div> <script>var test="{%username%}";document.getElementById('test').innerHTML =test; </script>
5)在页面链接的url中:eg:<a href="{%username%}"></a>
6)提交url参数处理
7)js获取url参数值的时候
下面来一个一个的分析上面提到了7种语境中的转义情况:
1)直接显示在页面上(简称页面html环境中):
为了保证用户的本意,完完全全的展示在页面上,这类主要是防止标签的自闭合,属性中的单引号,双引号已经存在的情况下不正确显示,所以必须转义4个字符:<,>,",' to为转义的意思(下同)
(1)< to <
(2)> to >
(3)" to ";
(4)' to ';
佰佰安全网提醒您:网络安全防范措施与应用一定要实施起来,这样才能保障信息安全。另外也可多学习一些网络安全常识和网络安全技术知识。
( 责任编辑: 张小付 )
2536
