1. Trang chủ
  2. Câu hỏi và trả lời
  3. Bất kỳ ai cũng biết một thư viện/chức năng vững chắc trong Javascript để làm sạch đầu vào của người dùng

Bất kỳ ai cũng biết một thư viện/chức năng vững chắc trong Javascript để làm sạch đầu vào của người dùng

2011-01-13 16 views
12

Các bạn có biết thư viện/chức năng vững chắc trong Javascript để làm sạch đầu vào của người dùng không.Bất kỳ ai cũng biết một thư viện/chức năng vững chắc trong Javascript để làm sạch đầu vào của người dùng

Chủ yếu để ngăn chặn các cuộc tấn công XSS và sắp xếp.

Nó sẽ là một lợi thế nếu thư viện cho biết đã có tùy chọn cho phép thẻ nhất định, vv

EDIT: Tôi đang sử dụng Node.js trên backend. Đó là lý do tại sao tôi cần một thư viện javascript cho loại điều đó.

Mọi người đang giới thiệu một phần của Google Caja ở đây: Preventing XSS in Node.js/server side javascript

Nhưng tôi chỉ hy vọng để có được nhiều lựa chọn hơn.

Nguồn

2011-01-13 arnorhs

+3

Cá nhân, tôi nghĩ rằng đầu vào chà kỹ nên được thực hiện vì lý do ngữ nghĩa, chứ không phải lý do an ninh. Gia đình của các cuộc tấn công giống như XSS thực sự là một vấn đề ** đầu ra **, và bạn cần phải "bảo vệ" các miền đầu ra khác nhau theo những cách khác nhau. Những mối đe dọa bảo mật không thể thực sự được giải quyết tại thời điểm đầu vào mà không làm giảm khả năng ứng dụng của bạn. – Pointy

+0

Đó là một điểm tốt @Pointy - nhưng bạn có thể muốn lọc đầu vào của người dùng vì nhiều lý do. – arnorhs

+0

@amorhs - vâng, tôi nghĩ tốt để lọc đầu vào vì lý do ngữ nghĩa - số điện thoại sẽ giống như số điện thoại, v.v. Nhưng đôi khi không có lý do chính đáng để giới hạn đầu vào (như trường "Nhận xét" hoặc "Ghi chú"). Có thể khách hàng có lý do chính đáng để bao gồm "&" hoặc "<" trong văn bản của họ. Một số người có dấu nháy đơn hoặc ký hiệu trong tên của họ! – Pointy

Trả lời

13

tôi sử dụng node-validator bởi chriso.

Ví dụ

var check = require('validator').check, 
    sanitize = require('validator').sanitize 

// Validate 
check('[email protected]').len(6, 64).isEmail();  //Methods are chainable 
check('abc').isInt();        //Throws 'Invalid integer' 
check('abc', 'Please enter a number').isInt();  //Throws 'Please enter a number' 
check('abcdefghijklmnopzrtsuvqxyz').is(/^[a-z]+$/); 

// Sanitize/Filter 
var int = sanitize('0123').toInt();     //123 
var bool = sanitize('true').toBoolean();    //true 
var str = sanitize(' \s\t\r hello \n').trim();  //'hello' 
var str = sanitize('aaaaaaaaab').ltrim('a');  //'b' 
var str = sanitize(large_input_str).xss(); 
var str = sanitize('&lt;a&gt;').entityDecode();  //'<a>'

Nguồn

2011-01-13 22:16:12 Baggz

+1

Điều quan trọng cần lưu ý là v3 của validator.js, phương thức xss() không được chấp nhận. Chris (tác giả của validator.js) hiện đang đề xuất mọi người sử dụng thư viện Caja của Google. Bạn có thể tìm thêm thông tin tại đây: https://github.com/chriso/validator.js/commit/2d5d6999541add350fb396ef02dc42ca3215049e –

 Các vấn đề liên quan

  • Không có vấn đề liên quan^_^