我做了一个论坛别人输入标题的时候带了javascript代码然后我就点击不进去了

synized 2012-02-08 10:35:25

用的是复杂文本编辑器，怎么样才能禁止郁闷死了

...全文

117 12 打赏收藏转发到动态举报

写回复

用AI写文章

12 条回复

切换为时间正序

请发表友善的回复…

发表回复

MiceRice 2012-02-08

打赏
举报

[Quote=引用 6 楼 synized 的回复:]
这个方法不错...可是如果讨论的是这方面的问题不能不让输吧0.0..
[/Quote]

关键字这个只是举例，实际情况是要用正则去匹配来灭掉的。而且只能适用于非技术网站。

常规的做法确实是HTML编码，这个更为稳定有效，你看看MSDN就知道了，否则大家咋讨论代码呢。

stevenzxl 2012-02-08

打赏
举报

[Quote=引用 1 楼 ldh911 的回复:]

做下HTML编码，比如把左右尖括号“<”“>”转为 < 和 >
[/Quote]
这是xss攻击，你可以上网查一下。
或者你用框架的话可以直接使用c:out or s:escapeTag标签进行过滤，前者不能识别html的部分符号，后者则没有这个问题。再或者你可以像楼上说的那样进行敏感字符转换

synized 2012-02-08

打赏
举报

[Quote=引用 5 楼 ldh911 的回复:]

暴力点，直接按关键字过滤掉，把“javascript”之类的直接作为敏感关键字灭掉。
[/Quote]这个方法不错...可是如果讨论的是这方面的问题不能不让输吧0.0..

MiceRice 2012-02-08

打赏
举报

暴力点，直接按关键字过滤掉，把“javascript”之类的直接作为敏感关键字灭掉。

synized 2012-02-08

打赏
举报

[Quote=引用 2 楼 lxwankkk 的回复:]

限制下
[/Quote]如何限制0.0..

synized 2012-02-08

打赏
举报

[Quote=引用 1 楼 ldh911 的回复:]

做下HTML编码，比如把左右尖括号“<”“>”转为 < 和 >
[/Quote]
因为复制文本编辑器输入到数据库的时候是<p></p>开始结束的是自动加的读取的时候才有效果如果去掉的话换行就不行了

唯一完美的番茄 2012-02-08

打赏
举报

限制下

MiceRice 2012-02-08

打赏
举报

做下HTML编码，比如把左右尖括号“<”“>”转为 < 和 >

lyf2941 2012-02-08

打赏
举报

呵呵呵关注下

synized 2012-02-08

打赏
举报

[Quote=引用 7 楼 stevenzxl 的回复:]

引用 1 楼 ldh911 的回复:

做下HTML编码，比如把左右尖括号“<”“>”转为 &lt; 和 &gt;

这是xss攻击，你可以上网查一下。
或者你用框架的话可以直接使用c:out or s:escapeTag标签进行过滤，前者不能识别html的部分符号，后者则没有这个问题。再或者你可以像楼上说的那样进行敏感字符转换
[/Quote]
String a=request.getParameter("biaoti");
String biaoti=null;
if(a.indexOf(">")!=-1||a.indexOf("<")!=-1)
{
String b=a.replaceAll("<", "<");
biaoti=b.replaceAll(">", ">");
}
这样做行不行啊