正则表达式空白字符会导致注入吗？

2023-12-07

如果我想验证a的输入<textarea>，并且希望它仅包含数字值，但甚至想让用户能够插入新行，我可以使用 javascript 正则表达式（甚至包括空格字符）选择所需的字符。

/[0-9\s]/

问题是：白字符是否可以用于执行注入、XSS，即使我认为最后一个选项是不可能的，或者任何其他类型的攻击？

thanks

/[0-9\s]/我相信应该是一个安全的白名单。不过，您确实需要确保它检查整个输入；我想你的意思是/^[0-9\s]*$/.

当然，还要记住，您必须在服务器端验证它，而不仅仅是在浏览器中。攻击者可以轻松绕过 JavaScript 验证代码。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

javascript

regex

security

codeinjection

正则表达式空白字符会导致注入吗？的相关文章

如何使用 selenium 和 Mocha 获取 xPath() 选择的锚标记的文本

我已经成功选择了 a 标签我想显示锚标记的文本但无法这样做我正在使用 selenium mocha javascript 和 phantomJS 这是我的脚本详细 var assert require assert var test
在Javascript中按降序对字符串进行排序（最有效）？

W3Schools 有这个例子 var fruits Banana Orange Apple Mango fruits sort fruits reverse 这是在 Javascript 中按降序对字符串进行排序的最有效方法吗 Updat
如何仅在 NextJS 站点构建期间使用 getInitialProps？

当使用 NextJS 构建静态站点时我想要getInitialProps方法仅在构建步骤期间触发而不是在客户端上触发在构建步骤中 NextJS 运行getInitialProps 方法 https nextjs org docs fe
动画进度元素值

我有一个progress元素该元素如下所示 div class container div div div
Java：正则表达式排除空值

在问题中here https stackoverflow com questions 51359056 java regexp for a separated group of digits 我得到了正则表达式来匹配 1 到 99 之间的一
Perl：正则表达式不抓取代码中的多行 C 风格注释

我有一个 Perl 程序读取用 C 编写的 SRC 文件使用 SRC 文件中的正则表达式匹配来查找特定格式的数据以用作目标文件名打开新的目标文件执行另一个正则表达式匹配以查找包含关键字 abcd 的所有 C 风格注释注意这些注释
检查 touchend 是否在拖动后出现

我有一些代码可以更改表的类在手机上有时表格对于屏幕来说太宽用户将拖动滚动来查看内容但是当他们触摸并拖动表格时每次拖动都会触发 touchend 如何测试触摸端是否是触摸拖动的结果我尝试跟踪dragstart和dragend
jquery window.open 在 ajax 成功中被阻止

尝试在我的 ajax 成功调用中打开一个新的浏览器窗口但是它被阻止为弹出窗口我做了一些搜索发现用户事件需要绑定到 window open 才能避免这种情况发生我还找到了这个解决方案您可以在 ajax 之前打开一个空白窗口然后在
检测两个正则表达式是否可能匹配相同的字符串[重复]

这个问题在这里已经有答案了给定两个正则表达式是否可以检测是否存在与它们都匹配的可能字符串例如给定正则表达式A and 我可以看到那个字符串 A 匹配他们两个这是一个简单的案例我的问题是针对更广泛的情况给定任何两个有效的正则表达
HTML2canvas 和 Canvas2image，下载的屏幕截图不显示我的 HTML 图像

我一直在开发一个 HTML 页面我想将其转换为图像我一直在使用 html2canvas 和 canvas2image 脚本并采用此代码http jsfiddle net 8ypxW 3 http jsfiddle net 8ypxW 3
如何在 Angular 中从父组件访问子组件？

I have mat paginator在子组件a中如下所示子组件 html
我可以在 PHP 会话变量中安全地存储用户名和密码吗？

我想在 REST api 之上制作一个轻量级的 web 应用程序用户只需进行一次身份验证从那时起所有针对 web api 的请求都希望通过以某种方式保持用户名和密码有效来完成我已经做了一个工作原型我在哪里将用户名和密码存储在会话变量
单击关闭按钮后不显示 Google 一键登录 UI

我正在尝试按照本指南使新的谷歌一键登录工作 https developers google com identity one tap web https developers google com identity one tap web
将 javascript 整数转换为字节数组并返回

function intFromBytes x var val 0 for var i 0 i lt x length i val x i if i lt x length 1 val val lt lt 8 return val func
Chartjs刻度标签位置

尝试让 Y 轴刻度标签看起来像image https i stack imgur com XgoxX png 位于秤顶部且不旋转缩放选项当前如下所示 scales yAxes id temp scaleLabel display true
单击引导分页链接时调用 jquery 函数

我想在单击引导分页链接时调用 jquery 函数假设我想从第1页遍历到第2页应该调用一个jquery函数我正在使用以下代码但它不起作用 ul pagination on click li function alert page ch
防止文本区域出现新行

我正在开发聊天功能使用 Vue 并使用文本区域作为输入以便溢出换行并且对于编写较长消息的用户来说更具可读性不幸的是当用户按下 Enter 键并提交时光标会在提交之前移动到新行从而使用户体验感觉不佳关于如何使用普通 Javas
使用异步调用时如何从 javascript 更新元刷新？

我有一个系统它使用元刷新来注销页面该系统会在空闲用户后进行清理不用担心服务器也会导致会话超时我开始通过 ajax 进行一些操作不是真正的 xml 但这不是重点我可以运行从异步请求返回的javascript 所以我想知道是否可以
在 Javascript 中减少/分组数组

基于this https stackoverflow com a 40774906 3254598例如我想以稍微不同的方式按对象进行分组结果应该如下 key audi items make audi model r8 year 2012
如何在打字稿文件中导入没有定义文件的js库

随着我们的项目变得越来越大我想从 JavaScript 切换到 TypeScript 以帮助进行代码管理然而我们使用许多库作为 amd 模块我们不想将其转换为 TypeScript 我们仍然想将它们导入 TypeScript 文件

随机推荐

const TypedefedIntPointer 不等于 const int *

我有以下 C 代码 typedef int IntPtr const int cip new int const IntPtr ctip4 cip 我使用 Visual Studio 2008 编译它并收到以下错误错误 C2440 初始化
如何在更新查询中动态设置表和字段名称？

我想循环遍历表格列表对于每个表我想运行更新查询伪代码 ArrayOfTablesObjects tablename1 fieldname1 tablename2 fieldname2 foreach tablename in Arra
长轮询停止其他请求 1 或 2 分钟

在创建聊天系统期间我使用长寿命请求来获取消息并使用 jquery 请求发送消息如下所示 Send btn click function ajax type POST url Chat aspx Insert data Str txtS
Selenium 浏览器自动化中的执行流程

我不确定硒中的脚本自动测试执行我想这个过程如下执行开始 Selenese 命令被转换为 HTTP 请求浏览器驱动程序的HTTP服务器接收HTTP请求浏览器驱动程序确定实现该功能所需的步骤命令浏览器驱动程序在浏览器上执行它们执
Grails 3 与并发会话

我正在尝试从 2 1 1 升级我的项目至 3 1 1 我在并发会话方面遇到一些问题例如我在浏览器 chrome 上使用用户名 AAA 登录然后其他用户在其他浏览器上使用用户名 AAA 再次登录然后用户名 AAA 将在浏览器 chr
将字符串拆分为长数据帧格式的值[重复]

这个问题在这里已经有答案了我有一个类似于以下示例的数据框df它由一个字符变量组成VAR df lt data frame ID 1 2 VAR c VAL1 r nVAL2 r nVAL8 VAL2 r nVAL5 stringsAsFa
cap 部署 + rbenv：捆绑：找不到命令

我正在关注https gorails com deploy ubuntu 16 04 我正在运行 bundle exec cap 生产部署并收到以下错误 10 email protected 0 289s 00 21 bundler in
SQL Data Sync Agent 2.0 安装错误系统服务

I am trying to install SQL Data Sync Agent 2 0 but I got this install error 我正在使用 Hyper V 运行虚拟机我在 Windows Server 2016 和
尝试获取 ENTER 键的字符代码

我有这个代码 newSymbolTextBox addKeyPressHandler new KeyPressHandler public void onKeyPress KeyPressEvent event System out pri
在 Flash Professional 中使用 Flex SDK 时出现问题（针对 as3corelib）

我最近在寻找将舞台渲染到文件的方法时发现了 Mike Chambers 的 as3corelib 在我的 Flash Professional 中的 ActionScript 3 0 项目中效果很好 CS6 如果有的话我决定查看 Mike
四面体的重心坐标

我想寻求有关四面体重心坐标的帮助按照我在这里找到的方法 http www cdsimpson net 2014 10 barycentric coordinates html我实现了一个 C 函数来查找四面体中点的重心坐标 float S
在 Mavericks OS X 10.9.2 中使用 Git 时出现 SSLRead() 错误

因为我通过 Mavericks OS X 10 9 2 的 MBP 中的 Xcode tools 安装了 Git 我无法将现有存储库克隆到我的计算机中我很确定问题出在我当前的计算机上因为该存储库在其他 PC 上运行良好错误是 amor
如何添加外部包并在 Rust 编译器中运行？

我正在使用 Rust 编译和构建一个示例程序我选择了rustc代替cargo用于编译因为它是一个简单的个人测试项目到目前为止使用rustc用于编译和构建可执行文件工作正常但是当我尝试添加外部rand包给了我这个错误 1 extern
Rails 不适用于新项目。显示错误“类 Cipher 的超类不匹配 (TypeError)”

我的 Rails 和 ruby 目前已更新 rails v gt 导轨 5 0 1 ruby v gt ruby 2 4 0p0 2016 12 24 修订版 57164 x86 64 linux 创建了一个新的 Rails 应用程序 Ra
从 Woocommerce 中的优惠券使用中排除具有 2 个特定属性术语的变体

如果客户的购物车中有任何具有以下属性条款的特定产品变体我需要防止使用优惠券 attribute pa style gt swirly attribute pa style gt circle 我查看了适用于限制特定产品和特定类别的 Woo
特定时间码的 ffmpeg vfilter

我想向某些视频添加水印但我只希望水印出现在视频中的某些时间码例如开始中间结束并且仅出现几秒钟我已经让 ffmpeg 按照此处的说明进行水印但我不知道如何在不同的时间码打开关闭水印这是我用来添加水印的命令 ffmpeg i
在 Powershell 中读取 Excel 工作表

下面的脚本读取 Excel 文档的工作表名称我该如何改进它以便它可以提取每个工作表中 B 列的所有内容从第 5 行开始因此第 1 4 行被忽略并创建一个对象例如如果工作表 1 中的 B 列称为伦敦具有以下值 Marleyb
Java 垃圾收集如何与循环引用一起使用？

根据我的理解如果没有其他东西指向某个对象 Java 中的垃圾收集会清理一些对象我的问题是如果我们有这样的事情会发生什么 class Node public object value public Node next public
从 Eclipse RCP 应用程序中删除“文件、编辑等”菜单

我想从我的 RCP 应用程序中删除文件编辑源重构等菜单我可以用吗hideActionSet 或者我应该做什么这是正确的在你的应用程序工作台窗口顾问覆盖发布窗口打开棘手的一点通常是找出要删除的操作集的名称但您可以使用旧的
正则表达式空白字符会导致注入吗？

如果我想验证a的输入

正则表达式空白字符会导致注入吗？

正则表达式空白字符会导致注入吗？ 的相关文章

随机推荐

热门标签

正则表达式空白字符会导致注入吗？的相关文章