如何将 utf-8 字符串中的字符列入黑名单？

Question

我有一个 HTML 文本输入，用户可以在其中输入自己的名称。该名称只是一个用户友好的显示名称，它不用于识别数据库中的用户或后端的任何内容。

我想允许utf-8字符，这样人们就可以输入他们母语的字符，无论是中文还是瑞典语还是其他语言。

但是，我想将某些字符列入黑名单，例如 <、>、[、]、?、* 等，以阻止任何潜在的脚本小子试图利用输入进行 SQL 注入或其他任何操作。

我认为这将是一个简单的代码，网络上会有很多示例，但是答案（如果有的话）隐藏在如何使用白名单验证电子邮件地址的示例中（只有英文字母数字字符，没有亚洲字符）或其他语言特定字符），或者，奇怪的是，如何完全停止某些字符的按键。

我不想完全停止按键，因为我认为这可能会让我的用户感到困惑。相反，我会输出一条错误，指出如果他们输入了黑名单中的字符，则他们无法使用字符 X。

那么，对于像我这样完全不懂正则表达式的人来说，有没有一种直接的方法可以将 Javascript 中的字符列入黑名单呢？

如果它不妨碍用户输入他们所使用的任何语言的时髦字符，我也会选择白名单解决方案。

Answer 1

首先，您需要清理客户端和服务器端的输入数据。任何聪明到能够发起攻击的人都会聪明到足以禁用 javascript 足够长的时间，以便将他们想要的数据输入到您的表单中。

现在就用 javascript 正则表达式来阻止输入而言，SO 上有很多问题都在讨论这个问题。

//一些技术内容

javascript 正则表达式删除所有特殊字符

这组正则表达式是否完全防止跨站点脚本攻击？

//简单的js示例，用于阻止输入不需要的字符。

http://www.sitepoint.com/forums/showthread.php?t= 142118

据我所知，共识似乎是您需要列入白名单而不是黑名单。也许来自 SO 的经验丰富的人可以为您指出处理用例的最佳方法。

Answer 2

这实际上取决于你一般如何进行验证（我喜欢 jQuery validate 作为一个框架），但基本检查可能类似于：

// set up a handler function
function checkBlacklist() {
    // check against a regex of bad chars
    // many ([]*? etc) may need to be escaped to work in regex
    if (/[\[\]<>\*\?]/.test(this.value)) {
        // take evasive action of some kind
    }
}
// assign it to your input
document.getElementById('mynameinput').onchange = checkBlacklist;

但是，正如 Mike Daniels 指出的，如果您主要关心的是脚本小子，请不要这样做。任何想要弄乱您的输入表单的人都可以轻松绕过 Javascript 验证。将 Javascript 验证视为一个很好的 UI 功能 - 它为用户提供有用的反馈，而无需让他们重新加载页面。但这不是任何类型的安全 - 无论您使用什么 Javascript 进行验证，您都必须检查和清理服务器端的输入。