form提交的数据如何做到防止javascript注入
在form表单提交的的数据中如果包含类似的代码
<script>
alert("哈哈")
</script>还有,假如用户向编辑自己在表单中提交的上述数据,那么如何在input输入框中正常显示用户提交的内容?
如下,如果用户在form表单中提交了上面的代码,那么就应该在页面上显示上面的代码,而不是直接运行,用户编辑时,在input输入框中显示的也应该是上面的那些代码,这个应该怎么实现?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(9)
删除掉是很不明智的,这样就不能保留用户的主管意愿
我们当时直接是根据提交的内容,判断里面是否有<script>标签的,有的话,把删除掉。或者提示前端不可提交此文本。
前端在效验时,也会在编辑框中加入效验。
楼主要的是转义,上面一堆人说过滤是几个意思
https://www.baidu.com/s?ie=UTF-8&wd=java+html%E8%BD%AC%E4%B9%89
一般替换掉
和我要解决的问题没太大关系
去看看 XSS 攻击
可以输出到Html标签中,但是不能输入到input中
c:out 可以原文输出吧
既然你是用了Java,那后台可以用JSOUP类库提供的Whitelist过滤用户输入的内容,过滤掉所有可以执行Javascript的属性或标签!
https://my.oschina.net/itsoku/blog/166890