EncodeUri在JavaScript中的作用

Question

我正在根据用户查询生成搜索输出，并生成如下搜索结果页面

location.href = root_url + "SearchCenter/Pages/internal.aspx" + "?q=" + st

我正在研究如何防范XSS攻击。

我使用encodeURI来防止攻击

encodeURI("http://Server.com/SearchCenter/Pages/internal.aspx?q=<script>alert('dd')</script>)" 

哪种输出

http://server.com/SearchCenter/Pages/internal.aspx?q=%3Cscript%3Ealert('dd')%3C/script%3E)

现在，如果不是标记，而是输入JavaScript:警报(‘dd’)，encodeURI将不会对此进行保护。

因此，我的问题是，是否有任何JS库或函数可以用来防止URL XSS攻击。

Answer 1

你应该解决这个服务器端。永远不要信任客户端，所以在HTML中呈现之前，应该在服务器上检查它发送的内容。因此，接受它们发送的任何内容，并使用服务器组件来确保输出的任何内容都是安全的。