在此记录XSS的相干常识
XSS的具体介绍能够查看 XSS跨站脚本攻打与进攻
// 对用户输出的内容进行转码
/*1.用浏览器外部转换器实现html转码*/
export function htmlEncode (html){
// 1.首先动态创建一个容器标签元素,如DIV
let temp = document.createElement ("div");
// 2.而后将要转换的字符串设置为这个元素的innerText(ie反对)或者textContent(火狐,google反对)
(temp.textContent !== undefined ) ? (temp.textContent = html) : (temp.innerText = html);
// 3.最初返回这个元素的innerHTML,即失去通过HTML编码转换的字符串了
const output = temp.innerHTML;
temp = null;
return output;
}
/*2.用浏览器外部转换器实现html解码*/
export function htmlDecode (text){
// 1.首先动态创建一个容器标签元素,如DIV
let temp = document.createElement("div");
// 2.而后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都反对)
temp.innerHTML = text;
// 3.最初返回这个元素的innerText(ie反对)或者textContent(火狐,google反对),即失去通过HTML解码的字符串了。
const output = temp.innerText || temp.textContent;
temp = null;
return output;
}
发表回复