Javascript 输入框 xss注入 以及防范

注入

类似于sql注入，在输入内容上动手脚，然后造成标签闭合的现象，再写入恶意 的js；

例如：

<input type="text" value="$var">

输入的内容如果是

" onclick = "javascript_function()" >

在遇到有字符限制的情况下，可以将两个input之间的内容注释掉， 再在之间构建恶意的js

<input type="text" value="" <!-->

...

<input type="text" value="" --> onclick="function eval()" >

还看到MySpace的蠕虫的构建方式， 其中的方法也真是巧妙地避开了所有的限制规则：

比如限制了 javascript，onreadystatechange等等关键字以及 iframe， script，style等等标签；

但是，这并不表明木有漏洞了；

其中， 可以使用拼接字符串的方式，将字符串拼接起来：

<input type="text" value="" style="background:url(expr)" expr="document.getElementById('id').onready"+"statechange">

防范：

采取完全不信任用户输入的心态去对待，前端过滤特殊字符， 类似 ” ’ & * ^ ! 等等；

var reg = /\~|\！|\!|\@|\#|\$|\^|\￥|\%|\…|\&|\*|\(|\)|\—|\+|\{|\}|\“|\”|\《|\》|\?|\？|\<|\>|\'|\"/g;
$("#ind_name").val($(this).val().replace(reg, ""));

将输入内容进行编码：

encodeURIComponent

还得防范css的xss， 比如： Img的src属性， 就可以实现将用户的隐私发送到指定地址；

background的url 也可以实现蠕虫攻击（Facebook和微博都发生过）

但主要防范还是要在后端，后端必须过滤输入和输出， 对特殊字符 < > script 等等更是要防范，还有就是对cookie设置

httponly：true

标识符;