3

如果我想验证 a 的输入<textarea>,并希望它只包含例如数值,但甚至想让用户能够插入新行,我可以使用包含空格的 javascript 正则表达式来选择想要的字符人物。

/[0-9\s]/

问题是:即使我认为最后一个选项是不可能的,或者任何其他类型的攻击,是否可以使用白色字符来执行注入、XSS?

谢谢

4

1 回答 1

4

/[0-9\s]/我相信应该是一个安全的白名单。但是,您确实需要确保它检查整个输入;我想你的意思是/^[0-9\s]*$/

当然,还要记住,您必须在服务器端验证它,而不仅仅是在浏览器中。攻击者可以轻松绕过 JavaScript 验证代码。

于 2012-11-07T19:10:33.937 回答