Я понимаю, что если пользователю необходимо предоставить HTML-код как часть ввода формы (например, в текстовом поле), я использую политику Anti-Samy для фильтрации опасного HTML-кода это не разрешено.Как очистить значения формы, чтобы разрешить только текст
Однако у меня есть текстовые поля и текстовые области, которые должны быть текстовыми. В эти поля не нужно вставлять код HTML вообще.
Я стараюсь, таким образом, дезинфицировать входные данные так, чтобы в базу данных был вставлен только сырой текст. Я считаю, что могу сделать это двумя способами:
- Используйте выражение регулярных выражений, чтобы отфильтровать HTML-код, например.
#REReplaceNoCase(FORM.InputField, "[^a-zA-Z\d\s:]", "", "ALL")#
- Используйте строгий текст только Анти-Samy политика
Какой вариант является правильным/надлежащей практике способ, чтобы удалить любой пользователь, введенный HTML код из текстового поля. Или доступны ли дополнительные варианты?
1) https://www.owasp.org/index.php/Don%E2%80%99t_Write_Your_Own_Security_Code:_The_OWASP_Enterprise_Security_API 2) хорошо ... вы понимаете. –