日期:2014-05-17  浏览次数:20592 次

为了与用户互动,都会提供用户输入文字交流,如何防止恶意代码?
本来一标题就可以问我要问东西,,进来了不要跑,帮我肯定一下,我想法成立不


做网页防止用户输入恶意代码,只要将用户输入的文字中找出尖括号替换成中文的尖括号,一切就无忧了,对不对?

比如用户输入 :<img alt="" src="" />

我替换成 : 〈img alt="" src="" /〉

是不是可以百分百拒绝恶意代码了?

要不用标签也可以,用不可输入的textarea把尖括号围起来,,

总之我感觉就是解决好尖括号了,就不会被用户输入恶意代码了,是不是?







不谈攻击。

------解决方案--------------------
避免<>这样的标签对,主要是为了防止 xss , 就和防注入,过滤单引号,sql关键字的原理是一样一样的.

言而总之, 不要相信 客户端输入的数据, 服务端 伤不起
------解决方案--------------------
可以试一下html编码转换HttpUtility.HtmlEncode()
------解决方案--------------------
除了这种应该还有其他的方式的,注重积累就行了,有一个解决一个嘛
------解决方案--------------------
JS+正则
------解决方案--------------------
100%不要相信
js仅供辅助验证

服务端自己必须过滤一遍