为了与用户互动,都会提供用户输入文字交流,怎么防止恶意代码
日期:2014-05-17 浏览次数:20587 次
为了与用户互动,都会提供用户输入文字交流,如何防止恶意代码?
本来一标题就可以问我要问东西,,进来了不要跑,帮我肯定一下,我想法成立不
,
做网页防止用户输入恶意代码,只要将用户输入的文字中找出尖括号替换成中文的尖括号,一切就无忧了,对不对?
比如用户输入 :<img alt="" src="" />
我替换成 : 〈img alt="" src="" /〉
是不是可以百分百拒绝恶意代码了?
要不用标签也可以,用不可输入的textarea把尖括号围起来,,
总之我感觉就是解决好尖括号了,就不会被用户输入恶意代码了,是不是?
不谈攻击。
------解决方案--------------------
避免<>这样的标签对,主要是为了防止 xss , 就和防注入,过滤单引号,sql关键字的原理是一样一样的.
言而总之, 不要相信 客户端输入的数据, 服务端 伤不起
------解决方案--------------------
可以试一下html编码转换HttpUtility.HtmlEncode()
------解决方案--------------------
除了这种应该还有其他的方式的,注重积累就行了,有一个解决一个嘛
------解决方案--------------------
JS+正则
------解决方案--------------------
100%不要相信
js仅供辅助验证
服务端自己必须过滤一遍
本来一标题就可以问我要问东西,,进来了不要跑,帮我肯定一下,我想法成立不
,
做网页防止用户输入恶意代码,只要将用户输入的文字中找出尖括号替换成中文的尖括号,一切就无忧了,对不对?
比如用户输入 :<img alt="" src="" />
我替换成 : 〈img alt="" src="" /〉
是不是可以百分百拒绝恶意代码了?
要不用标签也可以,用不可输入的textarea把尖括号围起来,,
总之我感觉就是解决好尖括号了,就不会被用户输入恶意代码了,是不是?
不谈攻击。
------解决方案--------------------
避免<>这样的标签对,主要是为了防止 xss , 就和防注入,过滤单引号,sql关键字的原理是一样一样的.
言而总之, 不要相信 客户端输入的数据, 服务端 伤不起
------解决方案--------------------
可以试一下html编码转换HttpUtility.HtmlEncode()
------解决方案--------------------
除了这种应该还有其他的方式的,注重积累就行了,有一个解决一个嘛
------解决方案--------------------
JS+正则
------解决方案--------------------
100%不要相信
js仅供辅助验证
服务端自己必须过滤一遍
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
