预防XSS攻击

攻击方式:

在页面展示的内容中掺杂js代码，以获取页面信息。

预防措施:

转换生成的js特殊字符

后端预防:

Node

npm包工具 xss 实现

npm i xss --save 
// 安装成功后 引入xss 
const xss = require("xss") 
// 使用xss工具过滤特殊字符 
const content = xss(string)

前端预防

使用js封装函数转换特殊字符

/*传入html字符串源码即可*/
 
function htmlEscape(text){ 
  return text.replace(/[<>"&]/g, (match, pos, originalText) => {
      switch(match){
          case "<": return "&lt;"; 
          case ">":return "&gt;";
          case "&":return "&amp;"; 
          case "\"":return "&quot;"; 
      } 
  }); 
}