我正在为Vanilla JS中的投资组合网站创建一个简单的联系表单。我显然不希望在我的网站上发送XSS攻击或将其发送到我的电子邮件。除了将信息发送到我的电子邮件之外,没有任何东西要去数据库或被保存。这太简单了吗?我是在简化吗?
const handleScriptAttack = (input) => {
const scriptRegex = /<script/i;
return input.match(scriptRegex);
};
然后在提交功能中,只需运行
if (handleScriptAttack(contactSubject.value)) {
return alert("Shame on you");
}
if (handleScriptAttack(contactMessage.value)) {
return alert("Really?");
}
如果有一个匹配项,是否不允许用户提交?