0
私はこのような入力タイプから値を取得する:防止の入力タイプ
var num = $(document).find('#num').val();
私は次のコードでXSS攻撃から入力タイプを避けるために試してみた:
num = jQuery(num).text().replace('script', '') ;
それは動作していない。他のアイデアは?
Q
防止の入力タイプ
A
答えて
1
このコードが動作しても、javascriptでxss攻撃を防ぐことはできません。 $(document).find('#num').val($(document).find('#num').val().replace('script',''));
これで、削除されたスクリプト文字列を入力することができましたが、あなたの入力に<scscriptript>を書き込むとどうなりますか?途中で削除されたスクリプト文字列の後に、別のスクリプトタグがあります。サーバー側で入力を確認する必要があります。
関連する問題
- 1. 入力タイプ番号のmaxLengthを防ぐ
- 2. 防止ブラウザのテキスト入力提案
- 3. Flaskを使用した入力タイプのURLのデフォルト動作の防止
- 4. 防止入力変化場合
- 5. タイプ0(DOMベース)JSPアプリケーションのXSS防止
- 6. ユーザー入力を出力する - xssを防止する
- 7. 角4入力[type = 'number']最小/最大での入力を防止します
- 8. 入力フィールドの再配置のためのUIWebViewの防止
- 9. F#関数の入力タイプを定義する/タイプミスマッチを防ぐ
- 10. jQueryを使用したHTMLテキストボックスの入力スペースの防止
- 11. 防止角度からのメールの入力にマングリング
- 12. 最大入力jqueryからのボタンの防止
- 13. のHTML形式の入力を防止する
- 14. 次の入力テキスト要素へのフォーカスの防止/停止方法は?
- 15. Phonegap iOS - 入力フォーカスのスクロールを防止する
- 16. スティッキーフォーム入力の位置変更を防止する
- 17. C#:入力コンソールによるエラー防止の最適化
- 18. JS>入力時にカスタム定義のキーボードショートカットを防止する
- 19. Parsleyが入力の検証時にサブミットを防止します
- 20. ExtJS - ローエンドのグリッドでクリック/入力編集を防止する
- 21. 小さな画面で左に動くブートストラップ入力の防止
- 22. 入力番号のマスク - マイナス記号を防止
- 23. トリガー防止レコード挿入
- 24. 入力タイプ=ファイル検証により他の入力タイプの検証が中止されます
- 25. 入力フォーカス時にキーアップを防止する
- 26. セマンティクuiドロップダウン、入力要素で自動選択を防止
- 27. 入力チェック時にページジャークアップを防止する
- 28. extjs numberfield:無効なキーボード入力を防止する
- 29. 防止崇高自動入力補完ポップアップ(;)ライン
- 30. DataGridviewCellは非数値入力を防止します
ユーザがいくつかのHTMLを '#num''コントロールに入力することになっている場合、おそらく本格的なHTML殺菌ライブラリが必要です。ユーザーの入力はHTMLではないと想定されます。そのように実行しようとしないでください。 –
例:テキストエリアに 'rm -rf/*'と入力することは危険を意味するものではありません。しかし、あなたのシェルで生のtextarea入力を実行すると、害を及ぼす可能性があります。 –