针对XSS跨站脚本漏洞 javascript 示例

针对XSS跨站脚本漏洞，建议过滤”<” 、”>” 并将用户输入放入引号间，基本实现数据与代码隔离；过滤双引号防止用户跨越许可的标记，添加自定义标记；过滤TAB和空格，防止关键字被拆分；过滤script关键字；过滤&#，防止HTML属性绕过检查。

建议过滤出所有以下字符：

[1] |（竖线符号）

[2] & （& 符号）

[3];（分号）

[4] $（美元符号）

[5] %（百分比符号）

[6] @（at 符号）

[7] '（单引号）

[8] "（引号）

[9] \'（反斜杠转义单引号）

[10] \"（反斜杠转义引号）

[11] <>（尖括号）

[12] ()（括号）

[13] +（加号）

[14] CR（回车符，ASCII 0x0d）

[15] LF（换行，ASCII 0x0a）

[16] ,（逗号）

[17] \反斜杠）

示例：

<input type="text"  onkeyup = "ValidateValue(this)">

function ValidateValue(textbox) {
      var IllegalString = "[`~!#$^&*()+=|{}':;',\\[\\].<>/?~！#￥……&*（）——|{}【】‘；：”“'。，、？]‘’";
      var textboxvalue = textbox.value;
      var index = textboxvalue.length - 1;


      var s = textbox.value.charAt(index);


      if (IllegalString.indexOf(s) >= 0) {
          s = textboxvalue.substring(0, index);
          textbox.value = s;
      }


  }

这样就OK了！