JavaScriptEncode

//使用“\”对特殊字符进行转义,除数字字母之外,小于127使用16进制“\xHH”的方式进行编码,大于用unicode(非常严格模式)。

var JavaScriptEncode = function(str){

    var hex=new Array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f');

    function changeTo16Hex(charCode){

        return "\\x" + charCode.charCodeAt(0).toString(16);

    }

    function encodeCharx(original) {

        var found = true;

        var thecharchar = original.charAt(0);

        var thechar = original.charCodeAt(0);

        switch(thecharchar) {

            case '\n': return "\\n"; break; //newline

            case '\r': return "\\r"; break; //Carriage return

            case '\'': return "\\'"; break;

            case '"': return "\\\""; break;

            case '\&': return "\\&"; break;

            case '\\': return "\\\\"; break;

            case '\t': return "\\t"; break;

            case '\b': return "\\b"; break;

            case '\f': return "\\f"; break;

            case '/': return "\\x2F"; break;

            case '<': return "\\x3C"; break;

            case '>': return "\\x3E"; break;

            default:

                found=false;

                break;

        }

        if(!found){

            if(thechar > 47 && thechar < 58){ //数字

                return original;

            }

            if(thechar > 64 && thechar < 91){ //大写字母

                return original;

            }

            if(thechar > 96 && thechar < 123){ //小写字母

                return original;

            }        

            if(thechar>127) { //大于127用unicode

                var c = thechar;

                var a4 = c%16;

                c = Math.floor(c/16);

                var a3 = c%16;

                c = Math.floor(c/16);

                var a2 = c%16;

                c = Math.floor(c/16);

                var a1 = c%16;

                return "\\u"+hex[a1]+hex[a2]+hex[a3]+hex[a4]+"";

            }

            else {

                return changeTo16Hex(original);

            }

        }

    }     

    var preescape = str;

    var escaped = "";

    var i=0;

    for(i=0; i < preescape.length; i++){

        escaped = escaped + encodeCharx(preescape.charAt(i));

    }

    return escaped;

}

HtmlEncode

var HtmlEncode = function(str){

    var hex = new Array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f');

    var preescape = str;

    var escaped = "";

    for(var i = 0; i < preescape.length; i++){

        var p = preescape.charAt(i);

        escaped = escaped + escapeCharx(p);

    }

    return escaped;

    function escapeCharx(original){

        var found=true;

        var thechar=original.charCodeAt(0);

        switch(thechar) {

            case 10: return "<br/>"; break; //newline

            case 32: return "&nbsp;"; break; //space

            case 34:return "&quot;"; break; //"

            case 38:return "&amp;"; break; //&

            case 39:return "'"; break; //'

            case 47:return "/"; break; // /

            case 60:return "&lt;"; break; //<

            case 62:return "&gt;"; break; //>

            case 198:return "&AElig;"; break;

            case 193:return "&Aacute;"; break;

            case 194:return "&Acirc;"; break;

            case 192:return "&Agrave;"; break;

            case 197:return "&Aring;"; break;

            case 195:return "&Atilde;"; break;

            case 196:return "&Auml;"; break;

            case 199:return "&Ccedil;"; break;

            case 208:return "&ETH;"; break;

            case 201:return "&Eacute;"; break;

            case 202:return "&Ecirc;"; break;

            case 200:return "&Egrave;"; break;

            case 203:return "&Euml;"; break;

            case 205:return "&Iacute;"; break;

            case 206:return "&Icirc;"; break;

            case 204:return "&Igrave;"; break;

            case 207:return "&Iuml;"; break;

            case 209:return "&Ntilde;"; break;

            case 211:return "&Oacute;"; break;

            case 212:return "&Ocirc;"; break;

            case 210:return "&Ograve;"; break;

            case 216:return "&Oslash;"; break;

            case 213:return "&Otilde;"; break;

            case 214:return "&Ouml;"; break;

            case 222:return "&THORN;"; break;

            case 218:return "&Uacute;"; break;

            case 219:return "&Ucirc;"; break;

            case 217:return "&Ugrave;"; break;

            case 220:return "&Uuml;"; break;

            case 221:return "&Yacute;"; break;

            case 225:return "&aacute;"; break;

            case 226:return "&acirc;"; break;

            case 230:return "&aelig;"; break;

            case 224:return "&agrave;"; break;

            case 229:return "&aring;"; break;

            case 227:return "&atilde;"; break;

            case 228:return "&auml;"; break;

            case 231:return "&ccedil;"; break;

            case 233:return "&eacute;"; break;

            case 234:return "&ecirc;"; break;

            case 232:return "&egrave;"; break;

            case 240:return "&eth;"; break;

            case 235:return "&euml;"; break;

            case 237:return "&iacute;"; break;

            case 238:return "&icirc;"; break;

            case 236:return "&igrave;"; break;

            case 239:return "&iuml;"; break;

            case 241:return "&ntilde;"; break;

            case 243:return "&oacute;"; break;

            case 244:return "&ocirc;"; break;

            case 242:return "&ograve;"; break;

            case 248:return "&oslash;"; break;

            case 245:return "&otilde;"; break;

            case 246:return "&ouml;"; break;

            case 223:return "&szlig;"; break;

            case 254:return "&thorn;"; break;

            case 250:return "&uacute;"; break;

            case 251:return "&ucirc;"; break;

            case 249:return "&ugrave;"; break;

            case 252:return "&uuml;"; break;

            case 253:return "&yacute;"; break;

            case 255:return "&yuml;"; break;

            case 162:return "&cent;"; break;

            case '\r': break;

            default:

                found=false;

                break;

        }

        if(!found){

            if(thechar>127) {

                var c=thechar;

                var a4=c%16;

                c=Math.floor(c/16);

                var a3=c%16;

                c=Math.floor(c/16);

                var a2=c%16;

                c=Math.floor(c/16);

                var a1=c%16;

                return "&#x"+hex[a1]+hex[a2]+hex[a3]+hex[a4]+";";

            }

            else{

                return original;

            }

        }

    }

}

Mitigate XSS attacks的更多相关文章

  1. XSS Attacks - Exploiting XSS Filter

    XSS Attacks - Exploiting XSS Filter mramydnei · 2015/12/21 10:11 from:http://l0.cm/xxn/ 0x00 前言 这又是一 ...

  2. (转) XSS Attacks – Exploiting XSS Filter

    中文翻译: from wooyun'drops 0x00 前言 这又是一篇来自全职赏金猎人Masato kinugawa的神作.一次双杀,用一篇报告拿下了两个CVE,分别是CVE-2015-6144和 ...

  3. XSS的防御

    基于代码修改的防御 和SQL注入防御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免: 步骤1.对所有用户提交内容进行可靠的输入验证,包括对URL.查询 ...

  4. Anti XSS 防跨站脚本攻击库

    https://wpl.codeplex.com/ Before understanding Anti-Cross Site Scripting Library (AntiXSS), let us u ...

  5. PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数

    XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来... 原文如下: The goal of this function ...

  6. Cross-site Scripting (XSS) 阅读笔记

    本文源自 https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29 通过阅读和翻译,并按照自己的理解,整理成如下文档. 概述 XSS ...

  7. Web安全XSS

    Web安全XSS 简单的反射型XSS钓鱼演示 </form> <script> function hack(){ XSSImage=new Image; XSSImage.sr ...

  8. webgoat——XSS

    Stage 1: Stored XSS(存储XSS攻击 黑别人) 实验内容:主要是用户"Tom"(攻击者)在自己的个人资料中添加了恶意代码(比如最简单的<script> ...

  9. 过滤xss攻击和sql注入函数

    /**+----------------------------------------------------------* The goal of this function is to be a ...

随机推荐

  1. vuex数据管理-数据适配

    由于接口在上线前,不可避免的会出现变动,小则属性名变,大则结构变化.如果处理不当,结构变化时,视图的代码也需要做相应的更改,然后就是容错方法的变动,接着重新自测等,这样,变化成本随着结构的复杂度大大加 ...

  2. Java连接GBase并封装增删改查

    1.介绍 GBase 是南大通用数据技术有限公司推出的自主品牌的数据库产品,目前在国内数据库市场具有较高的品牌知名度;GBase品牌的系列数据库都具有自己鲜明的特点和优势:GBase 8a 是国内第一 ...

  3. sql2000-text类型数据只能看到256个字节

    工具只能看到256个字节,其实数据是完整的,可以自己写个程序取数据试一试

  4. [日常] go语言圣经-获取URL练习题

    1.主要使用net/http和io/ioutil包 2.http.Get函数是创建HTTP请求的函数,resp这个结构体中,Body字段包括一个可读的服务器响应流 3.ioutil.ReadAll函数 ...

  5. [日常] MySQL的哈希索引和原理研究测试

    1.哈希索引 :(hash index)基于哈希表实现,只有精确匹配到索引列的查询,才会起到效果.对于每一行数据,存储引擎都会对所有的索引列计算出一个哈希码(hash code),哈希码是一个较小的整 ...

  6. winform:简单文件资源管理器

    今天全部学习内容的体现就是winform的资源管理器.这个资源管理器主要由一个textbox获取路径,然后在treeview那里通过递归的方式呈现目录树,当用户点击treeview的节点是,会触发Af ...

  7. 概述Java集合框架

    JAVA集合框架主要分为三个部分:接口,实现和算法.接口是指以Collection和Map为起始的一系列公用接口,其中还有Vector接口,也就是迭代器,Collection接口下面又有List 和S ...

  8. 《码出高效 Java开发手册》第三章 代码风格

    第3章 代码风格 3.1 命名 符合语言特性 体现代码元素特征: Abstract xxx. Basexxxx.xxException.xxxTest等; 包名统一使用小写, 完整单词+点分隔符; 枚 ...

  9. HwUI,CMS管理系统模板,漂亮,简单,兼容好

    HwUI兼容目前所有浏览器,IE6+,Opera,Firefox,Chorme,Safari,由于IE6基本已废弃,所以也没有测试IE6的兼容,但做了部分IE6兼容调整.HwUI操作简单,路由导航不需 ...

  10. [翻译]Review——24 tips for React Native you probably want to know

    Post author: Albert Gao Post link: http://www.albertgao.xyz/2018/05/30/24-tips-for-react-native-you- ...