javascript - 如何清理输入中的 JS 和 HTML?

原文 标签 javascript html css

关闭。这个问题是opinion-based .它目前不接受答案。












想改进这个问题?更新问题,以便 editing this post 可以用事实和引用来回答它.

4年前关闭。




Improve this question




我到处找,但找不到一个简单的库或工具。

我想清理我网站上的评论。

目前,我可以通过注释注入(inject) HTML、CSS 和几乎任何我想要的东西。

<div id="commentsSection">
    <div class="submitCommentForm">
        <textarea id="commentsInput" required minlength="10" maxlength="150">
        </textarea>
        <div id="submitComment">SUBMIT</div>
    </div>
    <div id="commentsBox"></div>
</div>

最好的可用方法是什么?

最佳答案

因为 JavaScript 可以被禁用,所以清理不是前端的操作;此任务应在后端执行。最佳实践说...

  • 验证输入(前端)
  • 提交前请确保数据符合您的预期
  • 清理输入(后端)
  • 在后端使用手段在不安全字符到达应用程序的存储层之前转义或删除它
  • 转义输出(后端)
  • 作为一项额外的安全措施,在输出之前,请务必避开来自第 3 方来源的任何内容

  • 鼓励您在前端验证数据输入,通知用户在尝试提交无效数据时不允许使用某些字符。如果 JavaScript 随后被禁用,您的后端仍然会知道如何处理格式错误的数据。

    关于javascript - 如何清理输入中的 JS 和 HTML?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44488156/

    相关文章:

    javascript - 您如何在JavaScript中使用多个引号?

    javascript - Li上的CSS3动画删除

    javascript - 如何在普通的旧 JavaScript 中读取 Angular 表达式

    css - Angular 8 中的可拖动和可调整大小的垫子对话框

    ios - TouchableOpacity 边框半径在 Android 上打破背景颜色 - React Native

    javascript - 在 ReactJs 中修改子最后一个组件和 css 属性

    javascript - IndexedDB 错误 : Uncaught DataCloneError: Failed to execute 'put' on 'IDBObjectStore' : An object could not be cloned

    javascript - 无限循环播放 HTML 中的 Gif 图像

    javascript - div 内容不出现

    javascript - 备用 CSS 和 javascript 链接