Javascript, который предотвращает XSS

Question

Есть ли способ, которым я мог бы автоматически отформатировать поле ввода через Javascript, который предотвращает XSS, прежде чем пользователь попытается нажать на кнопку отправки?

как, например, после того, как пользователь вводит атаку сценария на текстовое поле, javascript автоматически форматирует значение в текстовом поле в безопасный формат.

Кстати, я не просто полагаюсь на эту процедуру для предотвращения XSS, просто у нашей клиентской базы есть фразы, которые заставляют ASP.Net рассматривать его как XSS. вот точный пример:

фраза: OMY G<W TUBE/OVARY заставит страницу считать это XSS, тогда как OMY G< W TUBE/OVARY не рассматривается как потенциальный риск.

Answer 1

Нет, нет.

XSS можно предотвратить только во время сервера, отформатировав ненадежные данные для заданного контекста, в котором они будут отображаться.

Answer 2

Не сложно, если предположить, что вы можете точно определить, что вызывает фильтр ASP.Net XSS. Например, это исправит ваш показанный случай:

<form id="form" onsubmit="fix()">
    <input id="textbox" />
    <input type="submit" />
</form>
<script>
    function fix() {
        var t = document.getElementById('textbox');
        t.value = t.value.replace(/<(\w)/, '< $1');
    }
</script>

Пожалуйста, поймите, что это «решение» НЕ предотвратит XSS-атаки каким-либо образом и не подтвердит вводные данные каким-либо образом. XSS-атаки можно предотвратить ТОЛЬКО на стороне сервера.