У меня есть простая HTML-форма для мобильного Интернета, и в TextArea пользователь может вводить любые данные.В Mobile Textarea применять XSS-фильтр
Мне нужно создать функцию, которая может применять фильтр XSS, не передавая на сервер никаких HTML или недопустимых данных XSS.
я в настоящее время с помощью OWASP рекомендуемого XSS избежать HTML, как:
var data = document.getElementById(__fieldname__).innerHTML;
data = data.replace(/\<(.*?)DOCTYPE(.*?)\>/ig, '')
.replace(/\<html(.*?)\>/ig, '')
.replace(/\<\/html(.*?)\>/ig, '')
.replace(/\<script(.*?)\>/ig, '')
.replace(/\<\/script(.*?)\>/ig, '')
.replace(/\<style(.*?)\>/ig, '')
.replace(/\<\/style(.*?)\>/ig, '')
.replace(/\<body(.*?)\>/ig, '')
.replace(/\<\/body(.*?)\>/ig, '')
.replace(/\<form(.*?)\>/ig, '')
.replace(/\<\/form(.*?)\>/ig, '')
.replace(/\<iframe(.*?)\>/ig, '')
.replace(/\<\/iframe(.*?)\>/ig, '')
.replace(/\&/g, '&')
.replace(/\</g, '<')
.replace(/\>/g, '>')
.replace(/\"/g, '"')
.replace(/\'/g, ''')
.replace(/\//g, '/');
use data...
каких-либо предложения или улучшение?
Вы не можете полагаться только на клиентов, отправляющих «безопасные» данные. Это должно быть сделано на стороне сервера в первую очередь. – CBroe