0
我知道某些字符在表單輸入的值屬性中是不允許的。例如,如果我將這個屬性單獨封閉,我不能安全地在其中使用單引號。有沒有其他字符我不能在這個屬性中使用?表單輸入的值屬性中允許使用什麼字符
A
回答
1
除非另有規定,屬性HTML元素可以具有任意的字符串值,包括空字符串。除非明確指出,對於可以在這些屬性中指定哪些文本沒有限制。
值內容屬性給出了輸入元素的默認值。當值內容屬性被添加,設置或刪除時,如果控件的髒值標誌爲false,則用戶代理必須將該元素的值設置爲值內容屬性的值(如果有),或者空字符串否則,然後運行當前值清理算法(如果已定義)。
所以沒有限制,但價值可能會被價值淨化算法改變。
舉例來說,如果我用單接近這個屬性,我無法安全地在它使用單引號。
你可以。您只能使用文字單引號。你必須使用字符引用。
0
用戶可以在瀏覽器的輸入中寫入任何值,當您將不安全的字符串放入輸入值時,js也會自動轉義引號。但是,如果你使用PHP這樣的打印值:
<input type='text' value='<?php echo $_POST['someField']; ?>' name='someField'>
您將有XSS安全異常(如果你通過「>警報(」一些');到輸入並提交它,你將有JS警報) 你可以使用PHP函數 htmlspecialchars($_POST['someField'], ENT_QUOTES)
2
其他一些字符,例如」,0‘將導致問題在值字段中使用時」,和&應逸出
與代碼值的字符。’ - 如它將會在html文檔中的任何地方使用 可能有其他控制字符有問題(如Ctrl-Z),但我不知道。
相關問題
- 1. Spring表單輸入允許值屬性
- 2. 爲什麼在xml屬性中不允許使用字符'<'?
- 3. 單選按鈕的值屬性僅允許使用數字
- 4. 不允許輸入表單中的空白字符/空格
- 5. 輸入標籤內的HTML名稱屬性允許使用哪些字符?
- 6. 如何使用Pundit允許的屬性自動刪除Active Admin表單輸入?
- 7. 爲什麼輸入標籤不允許直接在表單標籤中使用?
- 8. 允許小數點/句點輸入字段允許的字符
- 9. Typescript - 屬性的允許值
- 10. 域中允許的字符是什麼?
- 11. 此時在元素輸入上不允許屬性值(在表單上)
- 12. 爲什麼C#中不允許使用通用屬性?
- 13. 網頁表單中的允許字符
- 14. 我可以使用表單中的什麼屬性將此索引字符串['size']值指定爲屬性值?
- 15. 防止輸入提交表單,允許在輸入中輸入
- 16. 使用JavaScript來僅允許HTML輸入中的特定字符
- 17. 不允許在jQuery的表單輸入字段中輸入一些數字
- 18. 爲什麼在HTML/XHTML嚴格中允許輸入大小屬性?
- 19. HTML5或XHTML5中的表單行爲屬性是否允許使用空值?
- 20. 表單輸入文本字段中允許的字符數限制
- 21. 正則表達式屬性,只允許字母數字字符
- 22. 應用C#屬性時允許使用什麼語法?
- 23. 允許特殊字符輸入密碼
- 24. Angular js md-datepicker允許輸入字符
- 25. 爲什麼header允許跨域不允許使用echo來輸出變量值?
- 26. 允許EmailAddress的驗證空字符串值屬性
- 27. HTML表單不允許輸入空格
- 28. 允許浮點值輸入
- 29. 如何清除SAPUI5輸入字段只允許幫助輸入值允許?
- 30. 不允許用戶輸入管道字符'|'輸入形式Angular
您不能在使用單引號的屬性中使用單引號,因爲它在您解析並混淆HTML解析器之前會關閉該屬性。這並不意味着不允許使用單引號。用雙引號和單引號在內的屬性是好還是轉義他們,所以他們不關閉屬性。我不知道任何不允許使用該屬性的字符 – GillesC