Способ проверки инъекций JavaScript

Question

Достаточно ли этого, чтобы избежать внедрения javascript для проверки входных данных таким образом:

xssValidate = function(value) {
    var container = $("<u></u>").text(value);
    if($(container).html() != value) return mc.ERROR_INVALID_FORMAT;
}

Мне удалось проверить все текстовые поля и значения текстовых полей с помощью приведенного выше кода, прежде чем отправлять их на сервер.

Answer 1

Я думаю, что это будет очень раздражать ваших пользователей ... что если я захочу напечатать "this & that" или "11> 7"?

Что вам действительно нужно делать, так это избегать его при выводе.

Кроме того, я надеюсь, что вы проверяете как на стороне сервера, так и на стороне клиента.