Sto sviluppando un'applicazione Web in cui gli utenti possono rispondere alle voci del blog. Questo è un problema di sicurezza perché possono inviare dati pericolosi che saranno resi ad altri utenti (ed eseguiti da javascript).Prevenzione attacchi XSS
Non possono formattare il testo che inviano. No "grassetto", niente colori, niente niente. Semplicemente testo. sono arrivato fino a questo regex per risolvere il mio problema: ". " "?"
[^\\w\\s.?!()]
Quindi tutto ciò che non è un carattere di parola (az, AZ, 0-9), non è uno spazio bianco,,," ! "," ("o") "sarà sostituito con una stringa vuota. Di ogni marchio di valutazione verrà sostituito con: "& quot".
Controllo i dati sul front-end e lo controllo sul mio server.
C'è qualche modo che qualcuno possa ignorare questa "soluzione"?
Mi chiedo come StackOverflow fa questa cosa? Ci sono molte formattazioni qui, quindi devono fare un buon lavoro con esso.
Qual è la lingua del lato server? –
Java. Io uso servlet – Colby77
Non hai detto nulla su '<>', che è probabilmente il carattere più vitale usato in xss ... – rook