网站 XSS 防范措施 脚本

输入：

1. 文本框

function checkInput(){<br /> var searchinput = document.getElementById(“J_searchinput”).value;<br /> //alert(“searchinput=” + searchinput);<br /> var tmp = toTXT(searchinput);<br /> //alert(searchinput + “—-” + tmp);<br /> if (tmp != searchinput) return false;<br /> }</p> <p> function toTXT(str){<br /> var RexStr = //<|/>|/”|/’|/&/g<br /> str = str.replace(RexStr,<br /> function(MatchStr){<br /> switch(MatchStr){<br /> case “<“:<br /> return “& lt;”;<br /> break;<br /> case “>”:<br /> return “& gt;”;<br /> break;<br /> case “/””:<br /> return “& quot;”;<br /> break;<br /> case “‘”:<br /> return “& #39;”;<br /> break;<br /> case “&”:<br /> return “& amp;”;<br /> break;<br /> default :<br /> break;<br /> }<br /> }<br /> )<br /> return str;<br /> }

提交时的HTML 代码

<button type=”submit” class=”btn-confirmsearch” οnclick=”return checkInput();”></button>

输出：

2. 页面

 velocity 的配置

    <tool>
        <key>esc</key>
        <scope>application</scope>
        <class>org.apache.velocity.tools.generic.EscapeTool</class>
    </tool>

使用

$esc.html($exception.getMessage())<br/> 方法

参考 ：http://velocity.apache.org/tools/devel/generic/EscapeTool.html#url()