Web專案會考慮到常見的XSS攻擊,一般會防堵使用者植入相關的Script符號,但有時為了提供User編輯HTML內容,因此必須輸入DB以及DB輸出回HTML時再做一次轉換。

前端encode存入DB,並從DB取出資料時decode。

function escapeHtml(unsafe) {
    return unsafe
         .replace(/&/g, "&")
         .replace(/</g, "&lt;")
         .replace(/>/g, "&gt;")
         .replace(/"/g, "&quot;")
         .replace(/'/g, "&#039;");
}

function unescapeHtml(unsafe) {
    return unsafe
        .replace(/&amp;/g, "&")
        .replace(/&lt;/g, "<")
        .replace(/&gt;/g, ">")
        .replace(/&quot;/g, "\"")
        .replace(/&#039;/g, "'");
}
參考:
can-i-escape-html-special-chars-in-javascript
Tags: ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)
(C) Copyright 2017, Tony Template by colorlib

markdown & code pretty

Search This Blog

Popular Posts

  • [JQuery] Datepicker Plugin 客製化民國年
    需求: 客戶指定要從Bootsrtap的Datepicker元件,轉為使用JQuery的Datepicker元件。 必須顯示民國年。 點選input不顯示元件,點選日曆圖示才顯示元件。 想法: 金融業的客戶堅持使用網站前台,使用民國年顯示,其實使用西元年顯示...
  • Mac OS X 安裝 Tomcat 9
    筆電換成了Mac pro,所以還是有很多需要適應的地方。 JDK的安裝其實十幾年來一直沒有太大差異,所以就不另贅述。 1. 下載Tomcat 首先到 Apache官網 下載Tomcat,目前(2016.09.03)最新的Tomcat版本為9.0.0.M9...
  • [SQL Server] 執行Stored procedure取得回傳值
    這次目的是模擬客戶搶購商品的狀況,現在很多電商崛起,其中一個很重要的議題在於避免商品超賣,目前想到的方式由一隻Stored Procedure負責控制,當要求的商品數量大於庫存時,回傳結果但不更新商品數量代表下單失敗。所有客戶Transaction下單必須呼叫此Stored P...
  • [.NET] MVC Controller簡易接收JSON資料
    有時簡單的使用者回饋表單,會將資料拋送到後端做簡單的處理動作。 當表單資料只有一筆時,可以使用簡單的方式讓ASP.NET自動Binding資料到後端的物件,不需要頗析JSON資料對應到物件的每個屬性。 可參考 https://dotblogs.com.tw/smartdog...
  • 情緒勒索 -- 如果可以好好愛,有誰會想選擇恨?
    媽媽:「我把這輩子希望都放你身上。你怎麼忍心讓我失望?」 婆婆:「你把孩子給保母帶。你真自私,你會毀了孩子的一生。 女友:「如果你敢回公司加班,我們就分手。」 上司:「我看你資質不錯,才想讓你多做一點事,栽培你。別忘了,你試用期還沒過。」 簡單的幾句對話,輕易點出了幾乎...
  • [.NET] Linq to SQL Left join
    var query = from left in 左 join right in 右 on left.欄位 equals right.欄位 into subGroup from right in subGr...
  • [Bootstrap] 常見錯誤用法
    網站開發日趨複雜以及分工細密,像我這種沒有美感的工程師,功能開發完成又要兼顧網頁美觀,Bootstrap簡單上手還可以嚇唬一下不懂的人,但前端的開發又是一門學問,網路上正好看到這篇 Bootstrap的十個錯誤用法 ,提醒許多工程師,在好用的Framework仍要搞懂適合的使用時...
  • [.NET] 使用COM或DLL相關帳號權限存取參考
    1.在web.config加入<identity impersonate="true" password="" userName="" /> br /> 此config會與IIS設定ASPNET模擬...
  • Javascript先執行後宣告的Hosting
    Hoisting是指什麼呢? 一般來說程式語言都是逐行執行的,所以正常都應該先宣告變數或函式才可以使用。 但寫過js的人都會發現有件神奇的事,我們可以先執行函式或變數,然後才進行宣告。 一般的解釋是js會執行類似"提升"的動作,自動將宣告或賦值的...
  • Excel樞紐分析表使用多重資料來源
    Excel 2010改版了使用者介面 雖然看起來漂亮許多 但也少了很多功能的按鈕 事實上其實功能還是存在的 只是需要把按鈕喚出來 例如樞紐分析表使用多重來源 設定請參考下列連結 http://george568.blog124.fc2.com/blog-entr...