[英]Sending xml data in hidden field.Is it safe?
我有一個HTML表單:
<form>
<input type="hidden" id="hiddenField"/>
...Other form fields
</form>
在這種形式下,我想使用xml數據設置一個隱藏字段。 任何人都可以建議直接使用xml數據設置隱藏字段是否可以。 即在我的javascript函數中,可以安全地直接使用xml設置隱藏字段,例如: $(#hiddenFiled).val(xml); 並在我的Java Servlet中獲取xml?請提出建議。
不,沒有編碼就不能保留xml您可以選擇
var stringValue=escape(xml);
var xmlValue= unescape (stringValue)
在JavaScript中
盡管這些方法在較新的版本中已被棄用,所以您可以在另一個庫中找到它,例如http://underscorejs.org/#escape UnderScoreJs
如果XML包含Andy敏感信息,也不要將其保留在隱藏字段中。
隱藏的表單字段不可用於會話跟蹤。
我們有兩種會話跟蹤機制,分別是Cookie和URL重寫,這是針對在瀏覽器中未啟用Cookie的用戶的最新機制,只有當您擁有自己的會話跟蹤器時,我才能理解在隱藏字段中發送會話ID並且不使用服務器容器(HttpSession和所有)中已經使用的容器,但是為什么要重新發明輪子呢?
隱藏的字段用於在頁面之間傳遞信息,有時我使用a並且我顯然不希望該信息顯示給用戶
沒有javascript或瀏覽器插件就無法發布XML。 您不應直接將其作為表單參數發送。 有關更多信息,請參見此答案: 。
使用可以在發送給服務器時encode它們encode的庫,並在服務器端對其進行decode 。
Underscore.js提供了這樣的功能。 請參閱文檔 :
escape_.escape(字符串)
轉義用於插入HTML的字符串,並替換&,<,>,“,”和'字符。_.escape('Curly, Larry & Moe'); => "Curly, Larry & Moe"unescape_.unescape(字符串)
與轉義相反,將&,<,>,“,”和'替換為未轉義的對應內容。_.unescape('Curly, Larry & Moe'); => "Curly, Larry & Moe"
但是,請記住,通常瀏覽器會限制您可以通過GET請求發送的數據量(大約255個字節)。 因此,即使在發送編碼的XML時,使用POST而不是GET始終是一個不錯的選擇。
在Spring JSP中將輸入文本和隱藏字段的數據發送到控制器名稱dosavenews
[英]Sending data of input text and hidden field to controller name dosavenews in spring jsp
通過Java Servlet發送XML數據時發送的不需要的字符
[英]Unwanted characters sent while sending XML data via Java Servlets
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.