मैं एक वेब ऐप विकसित कर रहा हूं जहां उपयोगकर्ता ब्लॉग प्रविष्टियों का जवाब दे सकते हैं। यह एक सुरक्षा समस्या है क्योंकि वे खतरनाक डेटा भेज सकते हैं जो अन्य उपयोगकर्ताओं को प्रदान की जाएगी (और जावास्क्रिप्ट द्वारा निष्पादित)।एक्सएसएस हमले की रोकथाम
वे भेजे गए पाठ को प्रारूपित नहीं कर सकते हैं। कोई "बोल्ड" नहीं, कोई रंग नहीं, कुछ भी नहीं। बस सरल पाठ। "।" "?"
[^\\w\\s.?!()]
तो कुछ भी है कि एक शब्द चरित्र (az, AZ, 0-9), नहीं एक खाली स्थान के नहीं है,,, ": मैं अपने समस्या को हल करने के लिए इस regex के साथ आया था ! "," ("या") "को खाली स्ट्रिंग के साथ बदल दिया जाएगा। प्रत्येक quatation चिह्न से प्रतिस्थापित किया जाएगा: "& उद्धरण"।
मैं सामने के अंत में डेटा की जांच करता हूं और मैं इसे अपने सर्वर पर जांचता हूं।
क्या कोई तरीका है कि कोई इस "समाधान" को बाईपास कर सकता है?
मुझे आश्चर्य है कि स्टैक ओवरव्लो इस बात को कैसे करता है? यहां बहुत सारे प्रारूपण हैं इसलिए उन्हें इसके साथ अच्छा काम करना चाहिए।
आपकी सर्वर साइड भाषा क्या है? –
जावा। मैं Servlets – Colby77
का उपयोग करता हूं आपने '<>' के बारे में कुछ भी नहीं कहा, जो शायद xss में उपयोग किए जाने वाले सबसे महत्वपूर्ण वर्ण हैं ... – rook