我有一些聊天脚本,我试图在单击发送或提交之前过滤输入字段。 这是我的输入文件:
<input required type="text" name="content" maxlength="300" id="content" placeholder="Write Your Message.." autocomplete="off">
提交
<button type="submit" class="sound-btn" id="submit_button">
<i class="fa fa-paper-plane"></i>
</button>
当我尝试发送一些标签时
<img src="avatar/user1_13128662_tumb.jpg">
<div id="test">
demo text
</div>
不幸的是在工作
我需要做什么。 从输入中删除所有attr标记,或阻止在输入内部写入html标记,因为所有这些数据都保存在数据库中,非常危险,并且也允许注入xss 像这样
<b>
<div>
</div>
<img
<a
<li
<ul
and all the HTML tags just keep links and numbers and normal text
我认为所有HTML标记 我需要保留的 http,https和mailto:以及正常的文本和数字 只需过滤掉不需要的字符,然后再通过javascript或jquery发送..谢谢
答案 0 :(得分:0)
在将正则表达式发送到数据库之前使用正则表达式,并用“ <”标识标签。