提供一个基本过滤 xss（跨站脚本攻击） 的正则

function xssFilter(str) {
    return str
        .replace(/&/g, '')
	.replace(/ /g, '')
    .replace(/</g, '')
    .replace(/>/g, '')
    .replace(/"/g, '')
    .replace(/'/g, '')
    .replace(/\r{0,}\n/g, '')
	.replace(/&lt;script/g, "&amp;lt;script")
	.replace(/script&gt;/g, 'script&amp;gt;')
	.replace(/&lt;img/g, "&amp;lt;img")
	.replace(/&lt;script.*&gt;.*&lt;\/script.*&gt;/g, "")
	.replace(/on(error|mousewheel|mouseover|click|load|onload|submit|focus|blur|start)=[^"]*/g, "")
}

测试demo

test<img sRC=http://xss.pt/ />
test<img src=/ onerror='alert(11)'/>

欢迎补充

原文链接：HelloWeb前端网 » 前端安全之xss攻击的过滤 » 感谢您的浏览，希望能有所帮助。

欢迎您加入“Helloweb” 学习交流群： 196291215 共同交流并结识同行，在这里说出您的收获与感想或有什么不同的观点，我们期待您的留言，分享，让我们一起进步！