0
我有一个简单的移动Web HTML表单和TextArea内的用户可以输入任何数据。在移动Textarea申请XSS过滤器
我需要创建一个函数,可以通过不传递任何HTML或无效的XSS数据到服务器来应用XSS过滤器。
我目前使用OWASP推荐XSS逃生HTML这样的:
var data = document.getElementById(__fieldname__).innerHTML;
data = data.replace(/\<(.*?)DOCTYPE(.*?)\>/ig, '')
.replace(/\<html(.*?)\>/ig, '')
.replace(/\<\/html(.*?)\>/ig, '')
.replace(/\<script(.*?)\>/ig, '')
.replace(/\<\/script(.*?)\>/ig, '')
.replace(/\<style(.*?)\>/ig, '')
.replace(/\<\/style(.*?)\>/ig, '')
.replace(/\<body(.*?)\>/ig, '')
.replace(/\<\/body(.*?)\>/ig, '')
.replace(/\<form(.*?)\>/ig, '')
.replace(/\<\/form(.*?)\>/ig, '')
.replace(/\<iframe(.*?)\>/ig, '')
.replace(/\<\/iframe(.*?)\>/ig, '')
.replace(/\&/g, '&')
.replace(/\</g, '<')
.replace(/\>/g, '>')
.replace(/\"/g, '"')
.replace(/\'/g, ''')
.replace(/\//g, '/');
use data...
任何建议或改进?
你不能只依赖客户端发送“安全”数据。这应该首先在服务器端完成。 – CBroe