标签: regex xss
用户可以输入的内容将使用以下正则表达式删除:
首先我删除了html实体:
\&\#(\d+|x[0-9a-f]+);?
并删除所有匹配的字符:
[\<\>\"\'\`\(\)\:\%\/\\]+
你能想到任何仍然可以输出恶意代码的字符串吗?
请注意,剥离的内容在任何html标记之外使用,并且永远不会出现像
<a href="myVariableHere">foo</a>