2015-12-06 •

xss csrf 捋之(2) some转义for抗xss

1.任何js runtime的解决方案

var keys = Object.keys || function(obj) {
    obj = Object(obj)
    var arr = []   
    for (var a in obj) arr.push(a)
    return arr
}
var invert = function(obj) {
    obj = Object(obj)
    var result = {}
    for (var a in obj) result[obj[a]] = a
    return result
}


var entityMap = {
    escape: {
      '&': '&amp;',
      '<': '&lt;',
      '>': '&gt;',
      '"': '&quot;',
      "'": "&apos;"
    }
}
entityMap.unescape = invert(entityMap.escape)
var entityReg = {
    escape: RegExp('[' + keys(entityMap.escape).join('') + ']', 'g'),
    unescape: RegExp('(' + keys(entityMap.unescape).join('|') + ')', 'g')
}

// 将HTML转义为字符实体
function escape(html:string) {
    if (typeof html !== 'string') return ''
    return html.replace(entityReg.escape, function(match) {
        return entityMap.escape[match]
    })
}
// 将字符实体转回为HTML
function unescape(str:string) {
    if (typeof str !== 'string') return ''
    return str.replace(entityReg.unescape, function(match) {
        return entityMap.unescape[match]
    })   
}

2. 浏览器环境下利用dom API夹带私货的解决方案

// 将HTML转义为实体
function escape(html:string){
    var elem = document.createElement('div')
    var txt = document.createTextNode(html)
    elem.appendChild(txt)
    return elem.innerHTML;
}
// 将实体转回为HTML
function unescape(str:string) {
    var elem = document.createElement('div')
    elem.innerHTML = str
    return elem.innerText || elem.textContent
}

3. 加个获取textNode的正则，爬小说html过滤用

const exp2=/<(.|\n)*?>/g
const exp=/<[^<>]+>/gi

function filter(str) {
  return str.replace(exp,'')
}

Yeer Fan

xss csrf 捋之(2) some转义for抗xss

1.任何js runtime的解决方案

2. 浏览器环境下利用dom API夹带私货的解决方案

3. 加个获取textNode的正则，爬小说html过滤用

Eloquent Ruby (Chapter 2) 手记

xss csrf 捋之