堆棧內存溢出
  簡體   English   中英

檢查Javascript字符串是否為HTML代碼

[英]Checking if Javascript string is HTML code

 原文  2013-11-09 01:34:28       javascript/ html/ code-injection

問題描述

我有一個文本框和提交按鈕,用於發布內容和對HTML頁面的回復。 有什么辦法(除了檢查字符串開頭的子字符串是否為 

    <h1>,<h2>,<h3>...,<script>,<style>,etc.

查看字符串在頁面上發布時是否會以不同的格式設置,以防止代碼注入?

謝謝

-扎克

1 個解決方案

解決方案1
 1 已采納  2013-11-09 01:50:23

顯示用戶數據時,應正確地將其編碼為html。 在javascript中,使用document.createTextNode(userData)並附加該節點,而不是使用innerHTML。 在PHP中,使用htmlentities

如果允許用戶使用任何html或格式,則應使用允許的標簽和屬性的嚴格白名單對他們進行處理,並將其他所有內容編碼為純文本。

因此,即使用戶確實輸入了<h1>stuff</h1> ,當對其進行正確編碼時,它也會以&lt;h1&gt;test&lt;/h1&gt; 而不是html,因為它不會受到javascript注入的攻擊。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 用Javascript字符串顯示HTML代碼 HTML源中的JavaScript檢查 使用Javascript檢查HTML 使用JavaScript檢查代碼抄襲 檢查Javascript代碼“on mousedown” JavaScript字符串檢查 JavaScript-檢查字符串 在JavaScript中檢查字符串是否相等 使用 JavaScript 檢查字符串內容 在JavaScript中檢查字符串中的符號
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM