我正在開發一個Web應用程序,用戶可以在其中回覆博客條目。這是一個安全問題,因爲他們可以發送將呈現給其他用戶的危險數據(並由JavaScript執行)。XSS攻擊防範
他們無法格式化他們發送的文本。沒有「大膽」,沒有顏色,沒有任何東西。只是簡單的文字。 我想出了這個正則表達式來解決我的問題:「。 「 」?「
[^\\w\\s.?!()]
,所以,只要這不是一個單詞字符(包括AZ,az,0-9),而不是一個空白,」 !「,」(「或」)「將被替換爲空字符串。比每個quatation標記都將替換爲:「& quot」。
我檢查前端的數據,並在服務器上查看。
有沒有什麼方法有人可以繞過這個「解決方案」?
我想知道StackOverflow如何做到這一點?這裏有很多格式,所以他們必須對它做一個很好的工作。
什麼是您的服務器端語言? – 2010-05-06 13:41:04
Java。我使用Servlets – Colby77 2010-05-06 14:04:31
你沒有對'<>'說過任何事情,這可能是xss中使用的最重要的字符...... – rook 2010-05-06 18:05:12