2013-07-26 162 views
0

我從閱讀關於XSS,我害怕輸入HTML代碼到我的表單域,如JavaScript通過<script> </script>標籤(惡意)的人。我該如何解決這個問題以防止XSS,或阻止用戶在我的輸入字段中輸入HTML代碼?對不起,看起來很簡單。防止HTML輸入表單輸入fieds

+0

http://stackoverflow.com/questions/71328/what-are-the-best-practices-for-avoiding-xss-attacks-in-a-php-site – jcho360

回答

0

您不能阻止用戶輸入此文本,但您應該處理他們所做的情況。 如果表單字段的文本發送到服務器,假定用戶使用腳本或其他工具生成http請求,而不是在瀏覽器中。 所有用戶輸入都應在服務器上進行驗證。但是,在很多情況下,如果您已經在瀏覽器中進行了一些驗證,則對非惡意用戶有幫助。但這對用戶而言不錯,而不是安全措施。

+0

所以這些是我可以的一些方法在服務器上處理它? – gthuo

+0

這非常依賴於你對數據的處理。如果在數據庫查詢中使用數據,請使用預準備語句。如果沒有正確轉義或刪除所有的腳本代碼/ html標籤/ ......任何可能有害的東西,都不要將它發回客戶端。 – FrankPl

+0

@FrankPI謝謝。我已經使用了準備好的語句,所以我可以開始使用PHP函數'strip_tags()'。這應該有助於刪除所有惡意標記,尤其是腳本和定位標記。 – gthuo

0

如果您使用PHP,然後使用htmlentities($input_data)htmlspecialchars($input_data)函數來繞過HTML標記並阻止執行。