Javascript 用户输入警报消息是否需要消毒？

我有一个网页，可以接受多个文件输入。如果文件大小过大或文件类型不正确，我想显示一个警报，以警告用户，如下所示：

FileName: Size exceeds 500kB.

---

其中

FileName

是用户给定的文件名。我认为这是一个用户输入。这里需要消毒吗？那会是什么样的呢？

根据经验，我总是会清理任何用户输入。我知道这听起来很糟糕，但基本上，不要相信你的用户！也就是说，我不认为有一个简单的方法来破解文件输入，但显然有人可以上传一个恶意文件，它通常以.exe或.zip的形式出现，我将从上传中消除这两种形式

如果我是你，我会检查一下，它提供客户端验证，而且设置起来非常简单。您可以指定要接受的文件类型以及文件输入的上载大小

---

目前，您可以回显文件名，而无需担心清理文件名

根据经验，我总是会清理任何用户输入。我知道这听起来很糟糕，但基本上，不要相信你的用户！也就是说，我不认为有一个简单的方法来破解文件输入，但显然有人可以上传一个恶意文件，它通常以.exe或.zip的形式出现，我将从上传中消除这两种形式

如果我是你，我会检查一下，它提供客户端验证，而且设置起来非常简单。您可以指定要接受的文件类型以及文件输入的上载大小

---

---

目前，您可以回显文件名，而无需担心清理文件名

你怎么知道它是什么类型的？扩展不可靠。@RobG，我先测试一下。如果属性无法读取，我将跳过check.mime-type detection>file extension parsing，但最好将它们组合在一起。@QuestionOverflow是否使用？当然，这只是一个提示，说明文件可能是某种类型的，但它可能很有用。@RobG，谢谢你的提醒。我已经在使用它的mime类型。刚刚发现我还可以指定扩展名：）你怎么知道它是什么类型的？扩展不可靠。@RobG，我先测试一下。如果属性无法读取，我将跳过check.mime-type detection>file extension parsing，但最好将它们组合在一起。@QuestionOverflow是否使用？当然，这只是一个提示，说明文件可能是某种类型的，但它可能很有用。@RobG，谢谢你的提醒。我已经在使用它的mime类型。刚刚发现，我还可以指定扩展名：）如果你是那种偏执狂（无论如何，你应该是这样），验证客户端永远不是安全性的答案，只是UX的答案。这是通过默默无闻实现安全的完美例子。无论如何，始终验证服务器端。（如果这是一个完全的客户端应用程序，或者服务器端Javascript，请部分忽略我的咆哮。）哦，不，我完全同意，我只是假设他在后端做了一些事情，因为这是一个Javascript问题。对不起，应该澄清一下@丹，我不认为这回答了我的问题。我已经在做服务器端验证了。我只需要知道在警报消息中回显文件名是否安全。如果我没有弄错的话，上传不是服务器端的，除非它确实在执行。表单、警报等都是客户端的。那么为什么需要卫生设施呢？@QuestionOverflow是的。如果你是那种偏执狂（无论如何你都应该是这样），验证客户端永远不是安全的答案，而只是用户体验的答案。这是通过默默无闻实现安全的完美例子。无论如何，始终验证服务器端。（如果这是一个完全的客户端应用程序，或者服务器端Javascript，请部分忽略我的咆哮。）哦，不，我完全同意，我只是假设他在后端做了一些事情，因为这是一个Javascript问题。对不起，应该澄清一下@丹，我不认为这回答了我的问题。我已经在做服务器端验证了。我只需要知道在警报消息中回显文件名是否安全。如果我没有弄错的话，上传不是服务器端的，除非它确实在执行。表单、警报等都是客户端的。那么为什么需要卫生设施呢？@是的。