form提交的数据如何做到防止javascript注入

码上中国博客 发布于 2016/09/17 22:50
阅读 1K+
收藏 0

软件工程师和算法工程师速来!正在直播:如何使用英特尔oneAPI工具实现PyTorch 优化>>>

在form表单提交的的数据中如果包含类似的代码

<script>
alert("哈哈")
</script>



那么,怎么能在前段页面正常显示用户提交的数据,而不是直接运行了?

还有,假如用户向编辑自己在表单中提交的上述数据,那么如何在input输入框中正常显示用户提交的内容?


如下,如果用户在form表单中提交了上面的代码,那么就应该在页面上显示上面的代码,而不是直接运行,用户编辑时,在input输入框中显示的也应该是上面的那些代码,这个应该怎么实现?




加载中
0
红薯官方
红薯官方

既然你是用了Java,那后台可以用JSOUP类库提供的Whitelist过滤用户输入的内容,过滤掉所有可以执行Javascript的属性或标签!

https://my.oschina.net/itsoku/blog/166890

0
g
gvsoft
c:out 可以原文输出吧
码上中国博客
码上中国博客
可以输出到Html标签中,但是不能输入到input中
0
公孙二狗
公孙二狗

去看看 XSS 攻击

码上中国博客
码上中国博客
和我要解决的问题没太大关系
0
kaole
kaole
一般替换掉
0
leo108
leo108

楼主要的是转义,上面一堆人说过滤是几个意思

https://www.baidu.com/s?ie=UTF-8&wd=java+html%E8%BD%AC%E4%B9%89

0
裆中杀气
裆中杀气
该评论暂时无法显示,详情咨询 QQ 群:点此入群
-1
szwx855
szwx855

我们当时直接是根据提交的内容,判断里面是否有<script>标签的,有的话,把删除掉。或者提示前端不可提交此文本。

前端在效验时,也会在编辑框中加入效验。

码上中国博客
码上中国博客
删除掉是很不明智的,这样就不能保留用户的主管意愿
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部
返回顶部
顶部