javascript - 服务器端消息数据安全

标签 javascript security node.js

在服务器端清理作为查询字符串参数之一从客户端接收的消息内容的最佳方法是什么?此消息还意味着将重新发送到其他连接的客户端,因此它在服务器或客户端的代码执行或注入(inject)(JavaScript 或 HTML)方面是安全的。

最佳答案

为了保护 node.js 免受 XSS 攻击,我从片段 jade 中借用了这个:

/**
 * Escape the given string of `html`.
 *
 * @param {String} html
 * @return {String}
 * @api private
 */

function sanitize(html){
    return String(html)
        .replace(/&(?!\w+;)/g, '&')
        .replace(/</g, '&lt;')
        .replace(/>/g, '&gt;')
        .replace(/"/g, '&quot;');
}

附注:您应该始终进行适当的服务器端过滤

关于javascript - 服务器端消息数据安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4845530/

上一篇:javascript - Html 中的折叠字段

下一篇:javascript - 附加控件的 CSS

相关文章:

postgresql - postgresql 中的这种安全方法有多安全?

javascript - 与标准 HTTP 相比,WebSockets 如何扩展?

javascript - 如何创建一个非常简单的 webhook?

javascript - 在 JavaScript 中选中其中一些复选框后禁用剩余的复选框

database - 通过互联网保护与 firebird 的连接的最佳方法

javascript - 将字符串数组减少到最小的可正则表达式值

Javascript图像上传和显示

php - 在此 AJAX 场景中最好的安全准则是什么,特别是身份验证?

javascript - 如何使用node.jsexpress渲染多个html页面?

json - 发布 json 来表达 - 无效的 json

©2024 IT工具网  联系我们