Vì vậy, tôi đang sử dụng nút bấm để viết trang web này. Bây giờ có một diễn đàn trò chuyện nhỏ trên trang này mở cho tất cả các loại js, html vv vv tiêm. Chỉ cần tự hỏi nếu các bạn nhận thức được một tập lệnh/thư viện js có thể khử trùng dữ liệu tôi nhận được từ người dùng không?Thư viện JS để vệ sinh dữ liệu nhận được từ người dùng?
Các node-validator là một thư viện Node.js cho chính xác mục đích này (xác nhận và khử trùng dây). Của nó khá dễ sử dụng và cũng có thể làm một số việc khác bên cạnh thoát thẻ đúng (ví dụ như kiểm tra và làm sạch một chuỗi cho những nỗ lực cross site scripting.)
Bạn có đang sử dụng bất kỳ thư viện nào như Prototype.js không? Nó có một số chức năng để thoát hoặc tước các thẻ sẽ an toàn để sử dụng trong tình huống đó. Tôi sẽ tưởng tượng các khuôn khổ tương tự khác có chức năng làm sạch chuỗi tương tự được tích hợp sẵn.
http://code.google.com/p/google-caja/wiki/JsHtmlSanitizer:
Dự án Caja bao gồm một trình khử trùng html được viết bằng javascript có thể được sử dụng độc lập với cajoler. Bạn có thể sử dụng nó để loại bỏ javascript có khả năng thực thi từ một đoạn mã html.
Chỉ cần lưu ý rằng [kể từ ngày 30 tháng 10 năm 2013, trình xác thực nút không hỗ trợ lọc XSS.] (Https://github.com/chriso/validator.js/commit/2d5d6999541add350fb396ef02dc42ca3215049e) Thử dùng chất khử trùng caja Mike Samuel đề xuất nếu bạn đang tìm kiếm vệ sinh XSS. – abagh0703