用于表单验证的 ReqEx 表达式

Question

我正在尝试向我的 html 网站添加表单验证，以防止 xss 注入攻击。

我正在使用一个简单的 java 表单验证器 genvalidator_v4.js，它允许我使用正则表达式来确定文本框中允许的内容。我正在尝试写一个可以防止“<”或“>”或任何其他可用于此类攻击的标签，但仍允许字母数字、标点符号和其他特殊字符。

有什么想法吗？也欢迎其他防止 xss 攻击的方法，但我在这方面非常缺乏经验，所以请尽可能简单。

Answer 1

您正在尝试将危险输入列入黑名单。这非常棘手，很容易出错，因为令牌数量太多可能是危险的。

因此，建议采用以下两种做法：

• 转义从数据库读取的所有内容在输出到网页上之前。如果您正确地对所有内容进行了 HtmlEncode（您选择的语言肯定有相应的库方法），那么如果用户输入

• 如果您仍然想过滤输入（这可能作为附加安全层有用），白名单通常比黑名单更安全。因此，不要说 < 有害，而是说字母、数字、标点符号等是安全的。到底什么是安全的取决于您要过滤的字段类型。