Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我有一个包含文本框和文本区域的表单。我想验证它以停止使用文本框或文本区域注入脚本。我需要使用 jquery 或 javascript 来完成。
是否有任何可用的正则表达式或任何其他方式来检测和停止脚本。
如果您只是将其保存在数据库中,则无需执行任何操作。如果要打印 HTML 页面中的值,请先对其进行 HTML 编码。无需验证。
看看 OWASP 的 ReForm: :
改革正是这样做的工具。改革允许您为 javascript、xml、html 或 vbscript(是的,它仍然存在)上下文转义数据。它为 Java、.NET、PHP、Perl、Python、Javascript 和 ASP 提供库。
其次,您还必须在服务器端级别进行验证。JavaScript 可以很容易地在浏览器中被禁用。