form提交的数据如何做到防止javascript注入

发布于 2021-11-27 16:14:13 字数 442 浏览 973 评论 9

在form表单提交的的数据中如果包含类似的代码

<script>
alert("哈哈")
</script>



那么,怎么能在前段页面正常显示用户提交的数据,而不是直接运行了?

还有,假如用户向编辑自己在表单中提交的上述数据,那么如何在input输入框中正常显示用户提交的内容?


如下,如果用户在form表单中提交了上面的代码,那么就应该在页面上显示上面的代码,而不是直接运行,用户编辑时,在input输入框中显示的也应该是上面的那些代码,这个应该怎么实现?




如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(9

落墨 2021-12-03 21:14:36

删除掉是很不明智的,这样就不能保留用户的主管意愿

各自安好 2021-12-03 11:14:59

我们当时直接是根据提交的内容,判断里面是否有<script>标签的,有的话,把删除掉。或者提示前端不可提交此文本。

前端在效验时,也会在编辑框中加入效验。

坚持沉默 2021-12-03 08:21:09

楼主要的是转义,上面一堆人说过滤是几个意思

https://www.baidu.com/s?ie=UTF-8&wd=java+html%E8%BD%AC%E4%B9%89

一人独醉 2021-12-02 14:24:10

一般替换掉

海之角 2021-12-02 08:47:50

和我要解决的问题没太大关系

情场扛把子 2021-12-02 08:42:50

去看看 XSS 攻击

本王不退位尔等都是臣 2021-12-02 07:54:08

可以输出到Html标签中,但是不能输入到input中

辞别 2021-12-01 20:09:53

c:out 可以原文输出吧

少女净妖师 2021-12-01 11:39:38

既然你是用了Java,那后台可以用JSOUP类库提供的Whitelist过滤用户输入的内容,过滤掉所有可以执行Javascript的属性或标签!

https://my.oschina.net/itsoku/blog/166890

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文