gpt4 book ai didi

javascript - 正则表达式空白字符可以导致注入(inject)吗?

转载 作者:行者123 更新时间:2023-11-29 10:20:27 25 4
gpt4 key购买 nike

如果我想验证 <textarea> 的输入,并希望它仅包含数值,但即使想让用户可以插入新行,我也可以使用甚至包含空白字符的 javascript 正则表达式来选择想要的字符。

/[0-9\s]/

问题是:是否可以使用白字符执行注入(inject)、XSS,即使我认为这最后一个选项是不可能的,或任何其他类型的攻击?

谢谢

最佳答案

/[0-9\s]/ 应该是一个安全的白名单,我相信。不过,您确实需要确保它检查整个输入;我想你的意思是 /^[0-9\s]*$/

当然还要记住,您必须在服务器端验证它,而不仅仅是在浏览器中。攻击者可以轻松绕过 JavaScript 验证代码。

关于javascript - 正则表达式空白字符可以导致注入(inject)吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13276474/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com