如果我想验证的输入<textarea> ,并且希望它含有,例如,只数值,但即使想给用户插入新行的可能性,我可以选择希望与一个JavaScript正则表达式,其包括字符甚至空白字符。
/[0-9\s]/
现在的问题是:做一个whitecharacter可以用来执行注射,XSS,即使我想,这最后一个选项是不可能的,或任何其他类型的攻击?
谢谢
Answer 1:
/[0-9\s]/应该是一个安全白名单的使用,我相信。 你需要确保它会检查整个输入,虽然; 我想你的意思/^[0-9\s]*$/ 。
还记得,当然,前提是你必须验证它的服务器端,而不是在浏览器中。 攻击者可以轻易绕过的JavaScript验证代码。
文章来源: can a regex whitespace character cause an injection?
