0
我有一個簡單的移動Web HTML表單和TextArea內的用戶可以輸入任何數據。在移動Textarea申請XSS過濾器
我需要創建一個函數,可以通過不傳遞任何HTML或無效的XSS數據到服務器來應用XSS過濾器。
我目前使用OWASP推薦XSS逃生HTML這樣的:
var data = document.getElementById(__fieldname__).innerHTML;
data = data.replace(/\<(.*?)DOCTYPE(.*?)\>/ig, '')
.replace(/\<html(.*?)\>/ig, '')
.replace(/\<\/html(.*?)\>/ig, '')
.replace(/\<script(.*?)\>/ig, '')
.replace(/\<\/script(.*?)\>/ig, '')
.replace(/\<style(.*?)\>/ig, '')
.replace(/\<\/style(.*?)\>/ig, '')
.replace(/\<body(.*?)\>/ig, '')
.replace(/\<\/body(.*?)\>/ig, '')
.replace(/\<form(.*?)\>/ig, '')
.replace(/\<\/form(.*?)\>/ig, '')
.replace(/\<iframe(.*?)\>/ig, '')
.replace(/\<\/iframe(.*?)\>/ig, '')
.replace(/\&/g, '&')
.replace(/\</g, '<')
.replace(/\>/g, '>')
.replace(/\"/g, '"')
.replace(/\'/g, ''')
.replace(/\//g, '/');
use data...
任何建議或改進?
你不能只依賴客戶端發送「安全」數據。這應該首先在服務器端完成。 – CBroe