HTML 表单字段中允许哪些内容？

Question

我有一些 HTML 表单，我正在服务器端实现这些字段的过滤（使用 Java Servlet），我想知道我应该允许什么，或者也许我应该禁止什么。对于电子邮件地址，我删除了与此匹配的任何内容：

[^A-Za-z0-9._%-@]

我可以将哪些类似规则应用于姓名、消息和电话号码字段。

我假设<和>应该转义为 <和 &gt;，我还应该更换什么？

沿着这些思路，对于此类字段允许的最大长度是否有任何建议？

Answer 1

您需要先将 & 转义为 &，然后将 < 转义为 <。与普遍看法相反，没有必要将 > 转义为 >。如果无法打开 HTML 标记，则无需保护关闭 HTML 标记的括号。

您决定是否应该在将其写入数据库之前对其进行转义，或者是否应该在每次从数据库读取数据时进行转义。在输入端执行会更快；如果您不必在将数据发送到另一个应用程序之前总是转义内容，那么在输出端执行此操作将更加安全，并且还可以更轻松地与其他应用程序交换数据。我个人会付出性能代价并在输出方面无法逃脱。缓存可以提供帮助。

您需要执行的其余验证取决于数据类型。对于电子邮件地址，请检查以确保其后有一个 @ 和至少一个 .，然后，如果您关心它是否有效，请发送地址测试电子邮件。完全验证电子邮件地址几乎是不可能的，即使该地址在语法上是有效的，但这仍然并不意味着它可以被发送。同样，允许几乎任何内容作为 URL，然后尝试检索它以查看其是否有效。对于帐单/送货地址，请使用 USPS Web 服务验证并获取最佳格式的数据（对于美国地址）。

Answer 2

您应该允许任何名称通过。考虑“O'Malley”或“Hudson-Walker”。某些语言（例如 Salish）包含数字，因此您可以输入“Sqwxwu7mish”。然后还有带重音的字符，希伯来语、西里尔语、希腊语、中文、韩语，甚至还有以前被称为 Prince 的音乐家。

消息文本也应该同样不受约束。如果消息可以包含 HTML，那么您必须解析 HTML（使用真正的 HTML 解析器）并应用标记和属性白名单，以仅允许您期望的内容通过。

电话号码也应该非常接近自由格式。北美格式与欧洲格式不同，有些人喜欢说“(555) 555-5555”，而另一些人喜欢说“555-555-5555”，有些电话号码有分机号，有些则没有。

您在输入时唯一需要担心的编码是所有内容均采用 UTF-8（包括您的数据库）。而且，在与数据库通信时，不要尝试自己编码任何内容，请使用数据库驱动程序的引用机制和占位符。

长度通常应该比您想象的要大得多，因此它们应该是您第一次猜测的合理最大值的两倍（至少）。名称的 20 个字符和 100 个字符之间的存储差异对于大多数应用程序来说并不重要，因此请慷慨一些。

在输出之前您不应该担心 HTML 编码，然后您应该使用您的环境支持的任何 HTML 和 URL 编码工具，不要尝试构建自己的工具。

不要过度限制你的投入，尽可能宽松和宽容。但对你的输出要非常严格。

Answer 3

最大长度：我总是在客户端和服务器端的字段上应用最大长度。这些值与数据库中设置的最大值匹配。

我同意转义<,>和>，<。

我认为有很好的验证是一个好习惯。如果我正在处理姓名、消息和电话号码字段，我会执行以下操作。

对于每个文本框，确保文本框根本不会采用无效值。
名称：aA-zZ
消息：'aA-zZ''0-9''。' ',' ';'等等..
电话号码：'0-9' 不要允许任何空格，但允许'-'，您始终可以在服务器端解析字符串。