用于表单验证的ReqEx表达式

Question

我正在尝试添加表单验证到我的html网站，以防止xss注入攻击。

我正在使用一个简单的java表单验证器genvalidator_v4.js，它允许我使用正则表达式来确定文本框中允许的内容。我正在尝试编写一个可以防止"<“或">”或任何其他可能用于此类攻击的标记，但仍然允许字母数字、标点符号和其他特殊字符的标记。

有什么想法吗？也开放的其他方法，以防止xss攻击，但我在这方面非常缺乏经验，所以请保持它尽可能简单。

Answer 1

您正在尝试将危险输入列入黑名单。这非常棘手，很容易出错，因为绝对数量的令牌可能是危险的。

因此，建议使用以下两种做法：

• Escape从数据库读取的所有内容，然后在网页上输出它。如果您正确地HtmlEncode了所有内容(您选择的语言肯定有相应的库方法)，那么用户输入<script>/* do something evil */</script>并将代码存储在您的数据库中也没关系。
• 如果你仍然想过滤输入(这可能是一层额外的安全措施)，白名单通常比黑名单更安全。因此，您可以说字母、数字、标点符号等是安全的，而不是说<有害。到底什么是安全的取决于您正在过滤的字段类型。