转载声明：文章来源https://blog.csdn.net/weixin_36908494/article/details/101268583

在页面中增加 JS 校验，对特殊符号进行替换，防止用户输入恶意代码导致 JS 注入问题。

在 web 开发中，对用户输入的内容做校验是必不可少的环节，不管是通过正则表达式对用户的输入进行校验，还是通过对特殊符号进行转义，均可达到目的。通过正则表达式校验，可能会导致用户体验差一点（因为用户不能自由输入~~），本文通过对 特殊符号进行转义 的方法来演示。

示例

自定义添加角色，包括角色名称、角色描述

1.1 未对特殊符号进行替换，直接保存到数据库。

在输入框中输入伪恶意代码，点击保存，去列表页面查看效果如下

首先会弹框，说明恶意代码执行了。

数据显示错位或者不完整，用户体验差，会被老板骂。

数据库中存储的是用户输入的原始字符

1.2 在提交表单前或者发送 ajax 请求前，对用户输入的值做校验，并对特殊符号进行替换。

js 函数代码如下

function replaceStr(a) {
    a = a.replace(/(<br[^>]*>| |\s*)/g, '')
        .replace(/\&/g,"&")
        .replace(/\"/g,""")
        .replace(/\'/g,"'")
        .replace(/\</g,"<")
        .replace(/\>/g,">");
    return a;
}

本示例中是通过 form 表单进行提交的，所以在 form 表单提交前，对表单属性的值进行了 replace。同样，通过常规的 ajax 请求，也可以在提交请求前，对参数的 value 进行 replace 再提交。

再次执行 1.1 中的添加角色步骤，查看页面效果和数据库存储情况。

经过特殊符号替换后，页面显示正常，没有弹框、数据错位等问题

查看此时数据库中存储的数据：

数据库中存储的是经过转义过后的特殊字符，这样当数据在页面上显示的时候，就不会出现 js 注入的问题

所以，web 开发中，对于用户可以自由输入的地方，一定要做校验和处理，因为你不知道你的用户是不是也懂一点 JavaScript。

注意

上述方法在实际开发中，并不推荐。因为用户可以篡改前端JS代码导致校验失效，这样无法避免 xss 漏洞，推荐在服务端做JS校验，有效预防 XSS 安全问题。 使用过滤器解决xss安全问题