本文旨在提供一种在静态页面中安全展示URL查询参数值的方法，重点关注降低安全风险。通过限制参数和来源，并结合适当的转义技术，我们可以创建一个简单且相对安全的页面来显示key1和key2的值，避免潜在的跨站脚本攻击（XSS）。本文将介绍一种使用纯文本结合HTML转义的安全方案，并提供代码示例和注意事项。

安全展示URL查询参数

在某些场景下，我们需要在静态页面中展示通过URL传递的参数值。例如，服务器完成一个处理流程后，需要将结果通过URL参数传递给一个静态页面进行展示。然而，直接在页面上展示URL参数值可能会引入安全风险，特别是跨站脚本攻击（XSS）。本文将介绍一种相对简单且安全的方法来展示这些参数值。

核心思路：纯文本 + HTML转义

我们的核心思路是，将整个页面视为纯文本，并通过HTML转义来处理从URL获取的参数值。这意味着页面本身不包含任何HTML标签，所有内容都将被视为文本。这样可以有效防止恶意脚本注入。

实现步骤

1. 获取URL参数： 首先，我们需要使用JavaScript获取URL中的参数值。
2. HTML转义： 对获取到的参数值进行HTML转义，将特殊字符（如<、>、”、’、&）转换为其对应的HTML实体。
3. 渲染到页面： 将转义后的参数值以纯文本形式渲染到页面上。

代码示例（JavaScript）

<!DOCTYPE html> <html> <head>     <title>展示参数值</title>     <meta charset="UTF-8"> </head> <body>  <pre id="displayArea"></pre>  <script>     function getParameterByName(name, url = window.location.href) {         name = name.replace(/[[]]/g, '$&');         var regex = new RegExp('[?&]' + name + '(=([^&#]*)|&|#|$)'),             results = regex.exec(url);         if (!results) return null;         if (!results[2]) return '';         return decodeURIComponent(results[2].replace(/+/g, ' '));     }      function escapeHtml(unsafe) {         return unsafe              .replace(/&/g, "&")              .replace(/</g, "<")              .replace(/>/g, ">")              .replace(/"/g, """)              .replace(/'/g, "&#039;");     }      // 获取参数值     var key1Value = getParameterByName('key1');     var key2Value = getParameterByName('key2');      // HTML转义     var escapedKey1Value = escapeHtml(key1Value);     var escapedKey2Value = escapeHtml(key2Value);      // 渲染到页面     var displayArea = document.getElementById('displayArea');     displayArea.textContent = "key1: " + escapedKey1Value + " key2: " + escapedKey2Value; </script>  </body> </html>

代码解释：

百宝箱

百宝箱是支付宝推出的一站式ai原生应用开发平台，无需任何代码基础，只需三步即可完成AI应用的创建与发布。

292

查看详情

• getParameterByName 函数用于从URL中获取指定名称的参数值。
• escapeHtml 函数用于对字符串进行HTML转义。
• 我们首先获取 key1 和 key2 的值，然后对它们进行HTML转义。
• 最后，我们将转义后的值设置到 <pre> 标签的 textContent 属性中。 使用 <pre> 标签是为了保留文本的格式（换行符）。

注意事项

• 限制参数来源： 确保只有受信任的服务器才能重定向到此页面，并传递参数。可以通过验证 Referer 请求头或使用其他身份验证机制来实现。
• 参数白名单： 只允许特定的参数（如 key1 和 key2）通过URL传递。忽略任何未知的参数。
• 始终进行HTML转义： 即使您认为参数值是安全的，也应该始终进行HTML转义，以防止潜在的安全漏洞。
• 使用成熟的转义库： 虽然上面的 escapeHtml 函数是一个简单的实现，但在实际应用中，建议使用成熟的HTML转义库，例如 escape-html (Node.js) 或其他类似的库，它们通常更全面，考虑了更多的边界情况。
• Content-Type设置： 确保服务器返回的Content-Type是 text/plain，以强制浏览器将页面内容视为纯文本。 但是由于我们使用了JavaScript来动态填充内容，所以Content-Type设置为 text/html 也是可以的，但是需要严格进行HTML转义。

总结

通过结合纯文本页面和HTML转义，我们可以创建一个简单且相对安全的页面来展示URL参数值。这种方法的优点是易于实现，并且可以有效防止XSS攻击。然而，需要注意的是，这种方法只适用于简单的展示场景，如果需要更复杂的页面布局和交互，则需要采用更高级的安全措施。

请记住，安全是一个持续的过程，需要不断地评估和改进。