Question

我到处寻找，但找不到简单的图书馆或工具。

我想在我的网站上清理评论。

目前，我可以通过评论注入HTML，CSS以及我想要的任何内容。

<div id="commentsSection">
    <div class="submitCommentForm">
        <textarea id="commentsInput" required minlength="10" maxlength="150">
        </textarea>
        <div id="submitComment">SUBMIT</div>
    </div>
    <div id="commentsBox"></div>
</div>

最好的方法是什么？

Answer 1

因为可以禁用JavaScript，所以卫生不是前端的操作;此任务应在后端执行。最佳实践说......

验证输入（前端）
- 确保数据符合您提交前的预期
清理输入（后端）
- 在后端使用意味着在不安全字符到达您的应用程序的存储层之前将其删除或删除
转义输出（后端）
- 作为一项额外的安全措施，在输出之前，一定要逃避来自第三方来源的任何事情

建议您验证前端的数据输入，并在尝试提交无效数据时通知用户不允许使用某些字符。如果JavaScript被禁用，您的后端仍然会知道错误数据的内容。

Answer 2

如果您想要更彻底的检查，

https://www.npmjs.com/package/sanitize-html是我之前使用的套餐

如何在输入中清理JS和HTML？

2 个答案: