如何在提交时取消JavaScript?
如何在提交时取消JavaScript?
提问于 2014-02-11 16:52:26
我的朋友是某种程度上的web开发者,初学者。我注意到他没有在表单提交上净化他的用户输入,所以我可以轻松地保存到他的DB工作<script>alert();</script>中。
在使用了JavaScript之后,他更改了代码,将任何<字符交换为s。因此,例如,编写<script>alert();</script>会将数据库保存为sscript>alert();s/script>。
作为朋友,我想证明这不是解决方案,问题是,当使用这种“安全性”时,是否有可能使JavaScript失效?
回答 1
Webmasters Stack Exchange用户
回答已采纳
发布于 2014-02-11 21:21:33
JavaScript不应该被用于安全,永远不会!JavaScript很容易被改变。这对客户端验证很有好处,但是与安全性相关的所有工作都应该在服务器端完成,包括过滤输入。
页面原文内容由Webmasters Stack Exchange提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://webmasters.stackexchange.com/questions/58088
复制相关文章
相似问题
腾讯云开发者
