3

の入力を検証し、<textarea>たとえば数値のみを含めたいが、ユーザーに新しい行を挿入できるようにしたい場合は、空白も含むjavascript正規表現を使用して必要な文字を選択できます文字。

/[0-9\s]/

問題は、この最後のオプションが不可能だと思っていても、ホワイトキャラクターを使用してインジェクション、XSS、または他のタイプの攻撃を実行できるかどうかです。

ありがとう

4

1 に答える 1

4

/[0-9\s]/使用するのに安全なホワイトリストになるはずだと私は信じています。ただし、入力全体をチェックすることを確認する必要があります。私はあなたが意味すると思います/^[0-9\s]*$/

もちろん、ブラウザだけでなくサーバー側でも検証する必要があることも忘れないでください。攻撃者はJavaScript検証コードを簡単にバイパスできます。

于 2012-11-07T19:10:33.937 に答える