Я разрабатываю веб-приложение, где пользователи могут отвечать на записи в блоге. Это проблема безопасности, поскольку они могут отправлять опасные данные, которые будут переданы другим пользователям (и выполняются javascript).Предотвращение атаки XSS
Они не могут отформатировать отправленный текст. Нет «смелых», никаких цветов, ничего. Просто простой текст. я пришел с этим регулярным выражением, чтобы решить мою проблему: «. " "?"
[^\\w\\s.?!()]
Так что все, что не является символ слова (Az, AZ, 0-9), а не пробел,," ! "," ("или") "будет заменен пустой строкой. Затем каждая квадратная метка будет заменена на: «& quot».
Я проверяю данные на лицевой стороне и проверяю их на своем сервере.
Можно ли каким-либо образом обойти это «решение»?
Мне интересно, как StackOverflow делает эту вещь? Здесь много форматирования, поэтому они должны хорошо с этим справиться.
Какой у вас язык на стороне сервера? –
Java. Я использую Servlets – Colby77
Вы ничего не говорили о '<>', который, вероятно, является наиболее важными символами, используемыми в xss ... – rook