[問題] 如何防止發文或留言的內容執行 script?
例如像論壇這樣的環境,發文者或留言者的內容,若是惡意藏有
js 的話,請問要如何防止?
假設內容有 <script> 標籤的話比較簡單,在發文者送出內容之前,
用正規表示式就能偵測到並移除。不過怕是在 html 標籤裡面放事件,
例如: <img src="" onload="執行的 script"/>
這樣就可以偷渡 script 了。不曉得 js 有沒有什麼寫法,可以在送出
內容之前,過濾掉所有的事件語法,或是其他的處理方式呢?謝謝!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.165.31.50
※ 文章網址: https://www.ptt.cc/bbs/Ajax/M.1438177200.A.F58.html
推
07/29 22:14, , 1F
07/29 22:14, 1F
→
07/29 22:16, , 2F
07/29 22:16, 2F
這樣不行吧? <img..../> 變成 <img.../> 圖片就不能顯示了...@@"
推
07/30 04:24, , 3F
07/30 04:24, 3F
→
07/30 04:24, , 4F
07/30 04:24, 4F
※ 編輯: mchen11 (118.165.6.172), 07/30/2015 09:23:18
推
07/30 09:42, , 5F
07/30 09:42, 5F
→
07/30 09:43, , 6F
07/30 09:43, 6F
→
07/30 09:44, , 7F
07/30 09:44, 7F
推
07/30 17:09, , 8F
07/30 17:09, 8F
→
07/30 18:23, , 9F
07/30 18:23, 9F
→
07/30 18:23, , 10F
07/30 18:23, 10F
→
07/30 18:24, , 11F
07/30 18:24, 11F