У меня есть текстовое поле в моем веб-приложении, где пользователь может ввести любую вещь, и он сохранит его как строку в db. Если пользователь вводит некоторый код Javascript в textarea, он будет выполняться, когда мы попытаемся увидеть его на странице сохраненных данных. Есть ли общий способ предотвратить это.Отключить выполнение Javascript в textarea
Вы должны never отображение ввода от пользователя, не выходя из него. Вы берете вход, который пользователь дает вам, и храните его как есть, но когда вы снова показываете его, вы должны выполнить правильное экранирование. Просто вручную вырезать <script> не достаточно.
Существует множество способов избежать содержимого в зависимости от используемой структуры/платформы, и такая функциональность, вероятно, даже встроена в используемое вами решение для шаблонов.
EDIT
Я не знаком с рамками Stripes, но после того, как поиск быстрый Google это оказался: http://stripes.sourceforge.net/docs/current/javadoc/net/sourceforge/stripes/util/HtmlUtil.html
кто-то вставил ниже как имя, а затем всякий раз, когда мы открываем веб-страницу, он будет давать поп-уо. Есть ли какой-либо общий способ в полосах, чтобы предотвратить это. – yusuf
Отредактировал мой ответ с возможным решением. –
Какие рамки вы используете для вашего приложения? – Dragondraikk
Я использую полосы – yusuf