問題タブ [input-sanitization]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
1 に答える
674 参照

python - 入力時にhtmlをサニタイズする必要がありますか?

この質問はすでにここで何度も尋ねられており、生の HTML 入力をデータベースに保存し、出力時にエスケープする必要があることにほとんどの人が同意しています。ただし、私のケースは少し異なる場合があると思います。

ユーザーはいくつかのタグ (em、strong、span など) を入力できますが、他のタグ (script、style、meta など) は削除されbleach.cleanます(エスケープしないでください) すべての安全でないタグ。私にとって、これは、表示のためにコンテンツをエスケープすることよりも、検証/サニタイズすることのように感じます。特に、データを提供する形式 (HTML、JSON、またはその他の形式) に関係なく、安全でないタグを削除することになります。

出力時にサニタイズする必要がありますか、それとも入力時にサニタイズする方がよい場合ですか?

ボーナス質問:

これがこのシナリオの適切なアプローチである場合、django で実装する最良の方法は何ですか? フォームレベルの検証またはモデルレベルの検証?

0 投票する
1 に答える
1154 参照

xss - 入力テキストからタグが削除された場合の XSS

すべてのタグがテキストから削除された場合、XSS 攻撃を実行することは可能ですか? パターン「<...>」(正規表現:/<.*?>/g)に一致するすべてを意味するタグによる。

0 投票する
1 に答える
510 参照

php - mysqlに保存するためにHTML投稿を適切にクリーンアップする方法

ブログ システムを作成しようとしています。ブログ投稿データを mysql に保存したいところですが、ここでデータをクリーンアップまたはサニタイズする方法をほとんど混乱させません。

ajaxを介してブログデータを投稿すると、次のようになりました

次に、投稿データを消去してエコーします

そしたら返ってきたのがこちら

応答でこれらの\r\nが表示される理由を知りたいのですが、どうすればそれらを取り除くことができますか。これはhtml投稿をきれいにする最良の方法です

注:データをmysqlでhtmlとして保存したい

スタイルとスクリプトタグを見つけて削除する正規表現を既に持っています。また、ストリップスラッシュを削除してstrip_tagsも追加しようとしましたが、まだ取得しています \r\n

0 投票する
1 に答える
51 参照

python - 関数に適切な入力検証がないことを証明する

問題:

私はこの人工的なサンプル関数を持っています:

単語のリストを受け取り、リスト内の単語を適切にエスケープせずに正規表現パターンを動的に構築します。

使用例:

質問:

この関数をテストして、適切な正規表現エスケープまたは入力サニタイズがないことを証明するにはどうすればよいですか?

言い換えれば、wordsこの機能を「壊す」には、リスト内のどの項目を提供すればよいのでしょうか?


(x+x+)+y壊滅的なバックトラッキングをシミュレートし、関数をorのように強制的にハングさせるために、いくつかの「邪悪な」正規表現を試しましたが、関数はすぐ(a+)+に戻り、問題の兆候はありません。False

0 投票する
0 に答える
55 参照

wordpress - wordpress プラグインの入力フィールドを適切にサニタイズするにはどうすればよいですか?

これは私のワードプレスプラグインコードです。このコードの下で適切にサニタイズするにはどうすればよいですか

0 投票する
0 に答える
21 参照

php - 入力サニタイズを正しく実装していますか?

この質問のために、このコードを削除しました。

ユーザーはフォームから配送の詳細を入力する予定で、私は入力内容のサニタイズを試みました。データを正常に投稿するという点では、すべてが期待どおりに機能します。私の質問は、PHP の優れた実践に関するものです。

私はグーグルで調べましたが、私が理解しているように、filter_var()関数はHTMLタグを取り除き、テキストベースの入力用の文字列と入力用の整数のみを残しaddress_zipます。

これは、不要な入力を除外するための正しい方法ですか、および/または安全なユーザー入力のために考慮すべき追加の手段があるかどうか?

機能をテストするにはどうすればよいfilter_var()ですか?
のようなものを簡単に投稿する必要があり<h1>Hello World</h1>ますか?
それは入力サニタイズのための十分なテストですか?

いつもお世話になっております。

皆さんありがとう

萌え

0 投票する
1 に答える
398 参照

mysql - MySQL HTML サニタイズ

MySQL データベースにデータを保存する Web サイトがあります

HTML を MySQL に挿入するとき、または Web サイトに表示するときに HTML をエスケープする必要がありますか?

理想的には、生の HTML をデータベースに入力し、そこからプルするたびにサニタイズしたいと考えています。このようにすることに危険はありますか?

html の例:<h1>test</h1>

0 投票する
2 に答える
26942 参照

reactjs - ReactJS での入力サニタイズ

私は ReactJS を使用して、単純なチャット アプリケーションを開発しています。誰かが入力をサニタイズするのを手伝ってくれませんか。チャット メッセージを送信するための入力テキスト ボックスは 1 つだけです。それを消毒する方法?.

ドキュメントに基づいて、HTML はデフォルトで html をエスケープします。それは十分ですか?。他のサニタイズ方法を追加する必要がありますか? はいの場合、その方法を教えてください。