web

前端如何安全使用

innerhtml

、

document.write

以防

止程式码嵌入

web

前端如何安全使用

inner

、

document.write

以防止程式码嵌入

先对传入引数进行特殊符号替换，然后再进行

write

或赋值给

innerHTML

。

需要替换的符号主要有：单引号、双引号、小于号、大于号等。

替换成显示效果相同的编码即可。可以用

&#xxx;

形式的编码，或

者

& lt ;

这种特定编码。

web

前端怎么防止程式码注入攻击

三种方式：

一，

HTML

防注入。

一般的注入都是在字串中加入了标签，用下

JAVA

程式码可以去掉

这部分程式码。

程式码如下，自己封装成方法即可。

String msge = "asdasdasdasd asdfsdf"; 

System.out.println(msge); 

msge = msge.replace("&", "&"); 

msge = msge.replace("", ">"); 

msge = msge.replace("\"", """); 

msge = msge.replace("'", "&qpos;"); 

System.out.println(msge); 

二、防

SQL

注入

最简单最容易的是限制使用者输入。

简单点的就是不允许使用者输入单引号

和

--

，因为单引号号

--

在

SQL

中都是影响执行的。

但

SQL

注入是多方面的，防止的方法也有很多种。

1

、位址列禁止特殊字元防

SQL

注入