我想向我的网站添加一个文本区域字段,用户可以将整个脚本粘贴到其中并保存。
我担心的是用户试图将其他代码注入(inject)该字段。
这就是脚本的样子...ID 和十六进制会改变,但没有其他变化:
<script type="text/javascript">
var advertvars_vars = {
pubid: '00000000000', // publisher id
bgcolor: '804296', // background color (hex)
text: 'FFFFFF', // font-color (hex)
test: true
};
</script>
<script type="text/javascript" src="http://mysite.com/static/ad.js"></script>
我的问题是...是否有办法验证用户是否粘贴了上述有效代码?
最佳答案
这就是自找麻烦。无论您验证得多么彻底,总会有人想出一种方法在文本框中注入(inject)邪恶的东西。永远、永远、eval()
或以其他方式直接运行来自用户输入的内容。只需添加一个表单,用户可以在其中输入 pubid
、color
等值,验证它们,然后自己组装 javascript block 。
关于php - 验证粘贴在字段中的脚本,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9785825/