Javascript 消毒一个简单的接触形式
我正在用vanilla JS为一个投资组合网站创建一个简单的联系表单。我显然不希望XSS攻击我的网站或发送到我的电子邮件。除了发送到我的电子邮件中的信息之外,没有任何内容将被保存到数据库中。这是不是太简单了?我是不是过于简单化了Javascript 消毒一个简单的接触形式,javascript,input,input-sanitization,Javascript,Input,Input Sanitization,我正在用vanilla JS为一个投资组合网站创建一个简单的联系表单。我显然不希望XSS攻击我的网站或发送到我的电子邮件。除了发送到我的电子邮件中的信息之外,没有任何内容将被保存到数据库中。这是不是太简单了?我是不是过于简单化了 const handleScriptAttack = (input) => { const scriptRegex = /<script/i; return input.match(scriptRegex); }; 不允许用户在匹配时提交?“这太简
const handleScriptAttack = (input) => {
const scriptRegex = /<script/i;
return input.match(scriptRegex);
};
不允许用户在匹配时提交?“这太简单了吗?”-我认为答案是肯定的,因为只要此代码在客户端浏览器上运行,具有足够知识的用户就可以覆盖此保护。应该在服务器上对其进行清理。或者在渲染过程中。。。
if (handleScriptAttack(contactSubject.value)) {
return alert("Shame on you");
}
if (handleScriptAttack(contactMessage.value)) {
return alert("Really?");
}