PHP怎么接收jQuery的Ajax post过来的值?
可以利用 PHP 预定义的 $_POST 变量用于获取来自 method="post" 的表单中的值 或 来自 ajax post 请求发来的值;例如下例所示:
利用 ajax 进行提交:$.post(url,{name:'xxx'},callback);
那么,在服务器的后台的PHP代码中,可以利用 $_POST 来获取ajax传递的值;
$name = $_POST['name'];
同样可以使用预定义的 $_GET 和 $_REQUEST 变量来接收传递的值;其中,$_GET 来接受 get 请求的传递值;$_REQUEST 用来接收包括 POST 、GET 的两者所有的传递值。
请注意,需要对传递过来的值进行过滤,确保传递的值不会引起SQL注入或xss攻击。
jquery哪个版本没有xss攻击
$
我们经常使用向 $ 内传入一个字符串的方式来选择或生成 DOM 元素,但如果这个字符串是来自用户输入的话,那么这种方式就是有风险的。
先看一个 DEMO:http://jsbin.com/duwuzonife/1/edit?html,js,output
$("img src='' onerror='alert();'");
当用户输入的字符串是像这样的时,虽然这个 img 元素不会马上被插入到网页的 DOM 中,但这个 DOM
元素已经被创建了,并且暂存在内存里。而对于 img 元素,只要设置了它的 src 属性,浏览器就会马上请求 src
属性所指向的资源。我们也可以利用这个特性做图片的预加载。在上面的示例代码中,创建元素的同时,也设置了它的属性,包括 src 属性和
onerror 事件监听器,所以浏览器会马上请求图片资源,显然请求不到,随机触发 onerror 的回调函数,也就执行了 JavaScript
代码。
推荐阅读 $ 的官方文档:http://api.jquery.com/jQuery/
类似的其他方法
.after()
.append()
.appendTo()
.before()
.html()
.insertAfter()
.insertBefore()
.prepend()
.prependTo()
.replaceAll()
.replaceWith()
.unwrap()
.wrap()
.wrapAll()
.wrapInner()
.prepend()
以上这些方法不仅创建 DOM 元素,并且会马上插入到页面的 DOM 树中。如果使用 script 标签插入了内联 JS 会立即执行。
不安全的输入来源
document.URL *
document.location.pathname *
document.location.href *
document.location.search *
document.location.hash
document.referrer *
window.name
document.cookie
document 的大多数属性都可以通过全局的 window 对象访问到。加 * 的属性返回的时编码 (urlencode) 后的字符串,需要解码才可能造成威胁。
不安全的操作
把可以被用户编辑的字符串,用在以下场景中,都是有隐患的。总体来说,任何把字符串作为可执行的代码的操作,都是不安全的。
1.通过字符串创建函数
(1)eval
(2)new Function
(3)setTimeout/setInterval
2.跳转页面
location.replace/location.assign
修改 script 标签的 src 属性
修改事件监听器
总结
如果发生在用 jQuery 时被 DOM-XSS 攻击的情况,大多是因为忽视了两个东西:
1. 在给$传参数时,对参数来源的把控。
2. 用户的输入途径不只有表单,还有地址栏,还可以通过开发者工具直接修改 DOM ,或者直接在控制台执行 JS 代码。
jquery url转义怎么办
//该方法不会对 ASCII 字母和数字进行编码,也不会对这些 ASCII 标点符号进行编码: - _ . ! ~ * ' ( ) 。
//其他字符(比如 :;/?:@=+$,#
var tDT_Start =$("#DT_Start").val().replace(/:/g,'|'); //将:替代为|,传到后台再转换回来
var tDT_End =$("#DT_End").val().replace(/:/g,'|');
解析:字符串要匹配正则/:/g,将符合条件的替换为|
C#后台tDT_Start= tDT_Start.Replace("|", ":");
求助关于JQ里autocomplete 参数url的问题
不支持 onpropertychange
这样好了 $("document").ready(function(){
$("#nr").autocomplete(url)
})
$.ajax({
// try to leverage ajaxQueue plugin to abort previous requests
mode: "abort",
// limit abortion to this input
port: "autocomplete" + input.name,
dataType: options.dataType,
url: options.url,
type: "GET",
data: $.extend({
q: lastWord(term),
limit: options.max
}, extraParams),
success: function(data) {
var parsed = options.parse options.parse(data) || parse(data);
cache.add(term, parsed);
success(term, parsed);
}
});
这就是auto-complete Ajax部分的源码,我不清楚你问题的重点在哪里,不过不管什么插件,还不都是一般的jQuery代码构成你,完全可以读懂的,你自己再研究研究吧
怎样用jquery编码和解码url
解码和编码url在原生JS里就极其简单,不需要用到jq,代码如下
encodeURI("内容");//编码URL
encodeURIComponent("内容");//编码URL
decodeURI("内容");//解码URL
decodeURIComponent("内容");//解码URL