使用Javascript / Typescript防止html注入
因此,我有一个简单的应用程序,用户可以在其中将URL插入iframe窗口。问题是,这允许进行html注入,从而弄乱了显示。
是否有防止这种情况发生的简单方法?像正则表达式转义功能一样?
iframe窗口的TS / JS代码:
public renderPlot(): void {
let ht: string = '';
let url: string = this.configPBg[EConfigPKeys.IFrameAddress];
if (url == undefined || url.length === 0) {
this.renderWarningMessage('No valid address configured');
return;
}
// auto stream with url like this : https://www.youtube.com/embed/jdnhfg?&autoplay=1&mute=1
ht += '<iframe width="' + this.chartWindowSize.width + '" height="' + this.chartWindowSize.plotHeight + '" ';
ht += 'src="' + url + '" ';
ht += 'frameborder="0" ';
ht += '>';
ht += '</iframe>';
我尝试添加此内容,但没有发现任何内容:
url.replace(/</g, "<").replace(/>/g, ">");
URL输入表单如下:
1 个答案:
答案 0 :(得分:1)
我将从网址变量中删除 all html:
url = url.replace( /<(?:(?:(?:(script|style|object|embed|applet|noframes|noscript|noembed)(?:\s+(?:"[\S\s]*?"|'[\S\s]*?'|(?:(?!\/>)[^>])?)+)?\s*>)[\S\s]*?<\/\1\s*(?=>))|(?:\/?[\w:]+\s*\/?)|(?:[\w:]+\s+(?:"[\S\s]*?"|'[\S\s]*?'|[^>]?)+\s*\/?)|\?[\S\s]*?\?|(?:!(?:(?:DOCTYPE[\S\s]*?)|(?:\[CDATA\[[\S\s]*?\]\])|(?:--[\S\s]*?--)|(?:ATTLIST[\S\s]*?)|(?:ENTITY[\S\s]*?)|(?:ELEMENT[\S\s]*?))))>/g,
"");
https://regex101.com/r/qwEyED/1
然后在URL上进行验证:
var patURL = /^(?!mailto:)(?:(?:https?|ftp):\/\/)?(?:\S+(?::\S*)?@)?(?:(?:(?:[1-9]\d?|1\d\d|2[01]\d|22[0-3])(?:\.(?:1?\d{1,2}|2[0-4]\d|25[0-5])){2}(?:\.(?:[1-9]\d?|1\d\d|2[0-4]\d|25[0-4]))|(?:(?:[a-z\u00a1-\uffff0-9]+-?)*[a-z\u00a1-\uffff0-9]+)(?:\.(?:[a-z\u00a1-\uffff0-9]+-?)*[a-z\u00a1-\uffff0-9]+)*(?:\.(?:[a-z\u00a1-\uffff]{2,})))|localhost)(?::\d{2,5})?(?:\/[^\s]*)?$/;
var res = patURL.test( url );
if ( res != true )
// bad url
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?