HTML中的输入标记是否经过了“清理”?
在HTML中,输入标记并没有经过自动的“清理”过程。HTML中的输入标记是用于接收用户输入的元素,例如文本框、复选框、单选按钮等。当用户在输入标记中输入内容时,这些内容会直接传递给后端处理,HTML本身并不会对输入内容进行任何清理或过滤。
然而,为了确保输入的安全性和可靠性,开发人员应该在后端对用户输入进行验证和清理。这是非常重要的,因为用户输入可能包含恶意代码、非法字符或其他不符合要求的内容。通过在后端进行验证和清理,可以防止潜在的安全漏洞和错误。
在后端处理用户输入时,可以采取以下措施来确保输入的安全性:
- 验证:对用户输入进行验证,确保输入符合预期的格式和规范。例如,对于邮箱地址,可以使用正则表达式验证是否符合邮箱地址的格式要求。
- 过滤:对用户输入进行过滤,去除不必要的特殊字符或标签。可以使用过滤函数或库来实现,确保输入不包含恶意代码或非法字符。
- 转义:对用户输入中的特殊字符进行转义,以防止跨站脚本攻击(XSS)。例如,将尖括号(<>)转义为<和>,这样可以避免HTML标签被解析为实际的标签。
- 参数化查询:在使用用户输入构建数据库查询语句时,应该使用参数化查询或预编译语句,而不是直接将用户输入拼接到查询语句中。这可以防止SQL注入攻击。
总之,HTML中的输入标记并没有经过自动的“清理”过程,开发人员需要在后端对用户输入进行验证、过滤、转义和参数化查询等处理,以确保输入的安全性和可靠性。
相关·内容
2回答
HTML中的输入标记是否经过了“清理”?
html、validation、input、sanitization、html-sanitizing
假设用户在输入文本标记中添加了一些PHP代码<?php //code here ?> (在本例中他们不应该这样做),开始标记和结束标记是否会转换为<和>,或者它们是否会像在可内容编辑的div中一样?
浏览 26提问于2017-01-22得票数 1
1回答
使用python的HTML Tidy
python、html、htmltidy
我正在处理格式不好的html页面,因此需要做一些清理。的Tidy函数产生了我想要的确切的输出。但是,我想将HTML文件作为更大的Python脚本的一部分进行清理。我试过了:tidy, errors = tidy_document(html)
但是,尽管tidylib运行良好,但输出并不像在w3我也找到了,但我没有找到清理<
浏览 0提问于2012-07-09得票数 2
回答已采纳
2回答
有没有好的基于Javascript的HTML解析库?
javascript、html、parsing、xss、sanitization
我的目标是获取最终用户输入的超文本标记语言,删除某些不安全的标记,如<script>,并将其添加到文档中。有没有人知道一个好的Javascript库来清理html?我在网上搜索并找到了一些库,包括、和,但我找不到太多关于人们是否对使用这些库有良好体验的信息,我担心它们不足以处理任意的HTML.将HTML发送到我<em
浏览 0提问于2010-07-05得票数 6
回答已采纳
2回答
HTML净化器-更改默认允许的HTML标记配置
xss、htmlpurifier
我想允许有限的白名单的标签,用户可以使用在我的论坛。因此,我已经将HTML净化器配置如下:$config->set('HTML.Allowed', 'p,atarget|title],img[src],span[style],strong,em,ul,ol,li');我想知道的
浏览 4提问于2012-11-06得票数 5
回答已采纳
2回答
为什么我的代码容易受到xss攻击?
php、html、xss
我有这样的php代码我正在使用htmlentities来防止XSS攻击,但我仍然容易受到上述字符串的攻击。为什么我的代码容易受到XSS攻击?我怎样才能保护我的代码不受它的影响?
浏览 5提问于2013-04-04得票数 3
回答已采纳
1回答
Libxml清理器将多余的<p>标记添加到HTML片段中
python、parsing、libxml2
我试图使用libxml的HTML清洁器对用户输入进行消毒,以防止XSS注入。当我输入这样的字符串时:相反,我明白了:我想去掉围绕我所有输入的<p下面是当前进行清理的功能:
from lxml.<e
浏览 1提问于2011-06-23得票数 5
回答已采纳
1回答
如何清理复选框?
php、wordpress、validation、checkbox、sanitization
我已经在谷歌上搜索过了,也在Stackoverflow上搜索了答案。但是,对于如何清理复选框值,还没有一个明确的答案。我理解如果我的输入是:有人可以替换他们的开发工具中的值-这些信息将被发送到服务器。那么我应该如何清理复选框/无线输入呢?我是否应该
浏览 1提问于2017-03-19得票数 3
1回答
php使用过滤器和验证插入数据
php、html
我有一个数据库,我想确保字段不是空的,如果不是,我想用这个经过清理的函数将它们保存到数据库中。因此,在填充和清理字段后,我希望将它们保存到数据库中。<html><title>Form Validation with PHP - Demo Preview</title>
<meta content="noindexspa
浏览 0提问于2015-12-10得票数 0
2回答
向最终用户公开javascript模板
javascript、template-engine
我希望允许最终用户通过指定模板字符串进行一些定制,该模板字符串在填充了用户可访问变量的对象的上下文中进行计算。然而,关于这一点我已经见过了。我只需要给用户提供打印定义值的权限。允许他们调用代码是不必要的,而且只会给一个次要的功能增加太多的复杂性。我需要的唯一功能的伪代码:
var userTemplate = "{{Persons.Total}} persons including {{Persons.First}}&quo
浏览 1提问于2012-05-30得票数 0
2回答
帮助实现PHP中的标记
php、tags、xss
在我最近的PHP项目中,我需要实现用逗号分隔的标记(可搜索)(类似于这个站点或类似于WordPress)。检测和删除不必要的字符或标签的明智方法是什么?撇开XSS的问题不谈,首先,如果用户输入HTML(或其他标记)而不是纯文本,我只需要清理和提取文本。我已经在WordPress中尝试过了,它非常聪明地找到了这个加法自动提取文本。是否</em
浏览 2提问于2011-08-22得票数 2
3回答
不允许用户在输入中输入HTML标记
php、html
我有一个输入,允许用户输入文本,然后使用PHP将文本发送到另一个页面,该页面存储在数据库中。我做了一些简单的验证(检查输入是否为空),而且效果很好。但是,我发现我可以输入HTML标记,例如它绕过了验证,也扰乱了输入。
如何检查输入是否包含HTML标记,如果包含,则返回错误?
浏览 7提问于2014-02-06得票数 2
回答已采纳
2回答
清除Spring应用程序中不需要的HTML输入
java、spring-mvc
我需要整理web应用程序中的用户输入,以便删除某些HTML标记并编码< to >等。
我已经做了几个简单的util方法来剥离HTML,但是我发现自己在我的应用程序中到处添加了这些方法。是否有更明智的方法来整理用户的输入?例如,在绑定过程中,还是某种程度上作为过滤器?我见过可以充当servlet过滤器的JTidy,但我
浏览 3提问于2010-08-04得票数 2
回答已采纳
2回答
消毒输入?
django、tastypie
使用Tastypie消毒用户输入的最有效方法是什么?现在,如果用户输入类似于hi的内容,则会保存HTML标记,因此当显示该标记时,文本将显示为粗体。除了更改每个资源的obj_create之外,我如何清理所有输入?
另外,既然我是网络安全方面的新手,我是否也应该在前端清理用户的输入?我不确定是否应该在发送POST请求之前对
浏览 2提问于2012-05-04得票数 3
回答已采纳
2回答
Ruby on Rails:如何最好地转义模型中的字符串?
ruby-on-rails、xss、sanitize
我希望我的应用程序在输入而不是显示时清理html,这样保存到数据库中的字段就会被清理。在将标记保存到数据库之前,如何告诉模型中的Rails安全地转义标记?在视图中使用清理过的字段之前,我希望不必再次
浏览 0提问于2010-05-21得票数 1
回答已采纳
2回答
当.NET为我“做”时,我为什么要手动输入?
.net、security、validation、stored-procedures、sanitization
当今最常见的攻击之一是跨站点脚本(XSS),它更像是对应用程序用户的攻击,而不是对应用程序本身的攻击,但它还是利用服务器端应用程序的漏洞。其结果可能是毁灭性的,并可能导致信息披露、身份欺骗和特权的提升。
阅读文档后,我看到许多关于在服务器端对输入进行消毒/验证的建议,然后再进行管理。正如我所说,我指的是“安全”,而不是数据的持久性/准确性!在这里我同意消毒输入..。
浏览 3提问于2012-02-14得票数 0
1回答
存储丰富文本的Node.js Tinymce
node.js、tinymce、sanitize
我有一个使用Tinymce编辑器的表单,这样任何用户都可以格式化它的文本,使其看起来很好看。如何验证Tinymce输入?如果我使用带有“转义”函数的验证器插件,它将删除所有格式。我尝试使用一些Google插件作为节点来净化输入,但是它并没有删除任何恶意代码,比如iframes。有什么帮助吗?
浏览 3提问于2014-05-20得票数 1
回答已采纳
1回答
将PegDown+JSoup输出与PageDown输出匹配
javascript、java、jsoup、markdown、pagedown
我试图在客户端和服务器端解析和清理标记。
但是,我发现这两者的输出是不一样的。,我的问题是:如何设置
浏览 0提问于2016-03-18得票数 4
回答已采纳
1回答
如果输入具有html,则清理用户输入
php、mysql、sql、sanitization
我的用户输入将包含我需要清理的html。目前我使用的是:$data = stripslashes($data);$data = preg_replace('/[^a-zA-Z0-9_-]/', '', $data);
对于其他输入(w/o html)。我允许使用下划线和连字
浏览 1提问于2014-03-14得票数 1
1回答
有没有办法配置ng-bind-html,让它呈现一个类似'</‘的字符串?
javascript、angularjs、directive、sanitize、ng-bind-html
看起来ng-bind-html呈现'</'就像一个关闭标记,所以它已经被清理过了,字符串已经通过,但它在html中呈现为关闭标记,这意味着没有显示。例如,“我发现</是一件好事”,如果我将字符串绑定到它,</之后的所有内容都将被切断,它只在网页中显示“I find”
问题是实际上我们同时使用了html编码和url编码,现在,来自前端的</em
浏览 9提问于2019-10-18得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
