如何编写Regex表达式(使用C#)来检查是否没有字符“<”和“>”?
我在控制台上编写代码进行测试:
Regex reg = new Regex(@"^(?!(.*<+.*)|(.*>+.*))");
string[] array = { "any text", "$baks> fgg", "att <br /> dfsdf", "<<script />> sdfsdf", "@##%%^^&&" };
foreach (var str in array)
{
if (reg.IsMatch(str))
Console.WriteLine("OK:\t\t{0}", str);
else
Console.WriteLine("XSS ATTACK:\t{0}", str);
}
结果是:
OK: any text
XSS ATTACK: $baks> fgg
XSS ATTACK: att <br /> dfsdf
XSS ATTACK: <<script />> sdfsdf
OK: @##%%^^&&
但是如果我使用这个表达式来验证像
这样的属性[RegularExpression(@"^(?!(.*<+.*)|(.*>+.*))")]
它会触发任何一个词。 为什么?如何写出正确的表达方式?
这只是客户端上的简单验证。使用AntiXSS在服务器端实现完全验证。
谢谢。
答案 0 :(得分:2)
客户端RegularExpressionValidator使用Javascript执行验证。 Javascript-regex不理解“高级”功能,例如(?! ... )。
将此视为整个表达式:[^<>]*,表示除<和>之外的所有内容。
另请注意,RegexValidator的行为就像表达式始终与^和$“锚定”一样。