主题: 关于跨站脚本攻击如何防范? |
作者: 青春一度, 发布日期: 2007-02-10 14:26:22, 浏览数: 7327 |
<script language=javascript>document.write('dfsdfsdfsdf');</script>
function KindClearScriptTag(str) { if (KE_SAFE_MODE == false) { return str; } //下面这两句不理解 str = str.replace(/<(script.*?)>/gi, "[$1]"); str = str.replace(/<\/script>/gi, "[/script]"); //我修改为: str = str.replace("<script", "<div class=htmlcode><script"); str = str.replace("</script>", "</script></div>"); str = str.replace("<iframe", "<div class=htmlcode><iframe"); str = str.replace("</iframe>", "</iframe></div>"); return str; } 请指教 |
作者: Roddy, 发布日期: 2007-02-11 12:20:36 |
要真正防范JS脚本的攻击,服务器端程序里要做处理,JavaScript的处理都可以绕过去的。
|
回复 |