0
我有一个表单,并且现在,您可以键入任何JavaScript等等。任何XSS等。从Javascript保护HTML表单/攻击
我该如何着手创建白名单,以便您只能发布字符。
在某一点上,我想任何与http://开始转换为
<a href="http://..."></a>
感谢
是这有效吗? http://htmlpurifier.org/
A
回答
7
的jQuery或JavaScript是首选
哦,不,你不能这样做,你看到了什么?因为即使你“消毒”使用JavaScript您的数据,没有人的距离
- 停止任何人关闭JavaScript的
- 使用浏览器的开发者控制台乱用数据
- 直接做POST,没有浏览器
换句话说,您必须在服务器端执行验证/清理。 Javascript验证可以提高用户的体验(例如,通过提供对无效输入的即时反馈)。
1
但是,在许多高负载应用程序开发人员使用部分客户端验证(但所有输入必须准备写入数据库)。因为你将使用PHP,我建议你用htmlspecialchars(),mysql_real_escape_string()等解析你的$ _POST值。您必须使用正则表达式将任何以“http://”开头的内容转换为链接(也可以使用explode('。',$ _POST ['yourInput']),这可以更容易为你)。
+0
非常有用的谢谢:)更新你的文章:mysql_real_escape_string在PHP 5.5.0中被弃用,它在PHP 7.0.0中被删除。资料来源:http://php.net/manual/en/function.mysql-real-escape-string.php – 2017-01-18 06:36:40
相关问题
- 1. 从DoS攻击保护nginx的
- 2. 使用从HTML表单转换为htmlentities的输入是否可以保护启用JavaScript插入的攻击?
- 3. 何时需要使用令牌(CSRF攻击)来保护表单?
- 4. 如何保护WebRTC免受MitM攻击?
- 5. 保护自己免受Dos攻击
- 6. 用OpenCart保护SQL注入攻击2.3.0.2
- 7. 保护ECDH免受MITM攻击
- 8. 保护api免受重播攻击
- 9. XSS攻击防护
- 10. 我需要保护从SQL注入攻击
- 11. 从恶意脚本的攻击保护网站和病毒
- 12. 如何使用iXGuard保护iOS应用程序免受攻击者攻击
- 13. html()vs innerHTML jquery/javascript和XSS攻击
- 14. 如何保护java.lang.Object的受保护方法免受子类攻击?
- 15. 如何保护.NET Web服务免受XXE漏洞攻击?
- 16. 保护来自各种攻击的PHP数据
- 17. 插入数据库与注入攻击保护
- 18. 保护亚马逊网络服务(AWS)S3免受DDoS攻击
- 19. 如何保护网站免受DoS攻击
- 20. 如何保护Angular 2 SPA免受XSS攻击?
- 21. 保护Firebase数据库免遭点黑客攻击
- 22. 如何保护Web服务免受拒绝服务攻击?
- 23. 保护bios免受攻击性很强的程序
- 24. 如何保护Symfony登录免受计时攻击?
- 25. 保护移动应用程序免遭中间人攻击
- 26. 配置nginx来保护Windows服务器免受攻击
- 27. WCF安全 - 在中间攻击中保护人免受
- 28. ModSecurity针对XSS类型0攻击和影响的保护
- 29. 如何使用HTTPOnly Cookies来保护JWT免受XSRF攻击?
- 30. 保护tomcat 6 apr针对BEAST攻击的SSL
你知道你不能使用客户端代码进行数据验证 - 你的用户可以关闭JS。所以,除非你运行服务器端JavaScript,否则你将不得不在服务器端使用另一种语言检查脚本标记/坏字符的存在...... – tobyodavies 2010-11-17 08:17:02
谢谢,我现在意识到了。你能推荐任何预先构建的解决方案吗? – switz 2010-11-17 08:33:53
你使用的服务器端脚本是什么?它是PHP,.net。 perl,... – sathish 2010-11-17 08:36:24