1
是否足以避免JavaScript注入以這樣的方式驗證輸入數據的方式:檢查的javascript注射
xssValidate = function(value) {
var container = $("<u></u>").text(value);
if($(container).html() != value) return mc.ERROR_INVALID_FORMAT;
}
我設法與上述前提交的代碼來驗證所有的文本字段和文字區域價值他們到服務器。
我還想補充一點,正確的做事方式是接受用戶在文本框中輸入的任何內容,以相同的形式使用它,並且只在實際呈現它之前將其作爲最後一步進行編碼到HTML。另外,如果你不使用參數化查詢(就像你應該做的那樣),你必須在查詢中連接字符串之前轉義字符串以避免SQL注入。 – 2009-07-09 11:08:47