Pessoa, como posso prevenir contra atributos HTML, e JavaScript?
POis o usuarui pode digitar um alert em JS em input, e com isso sempre aparece o result, como consigo uma forma de não permetir?
- Valide os campos de um formulário tanto no cliente quanto no servidor.
- Não deixe dados de autenticação no código JavaScript.
- Valide a permissão de um determinado usuário a uma determinada página no servidor.
Adulteração de JavaScript é MUITO fácil de fazer, por isso, tenha sempre sua validação no servidor também.
[]´s
Para os campos “String”, você precisa de uma ferramenta que limpe a entrada das entidades HTML, por exemplo, para server side use http://jtidy.sourceforge.net/), para o cliente você pode usar uma biblioteca javascript como prototype http://www.prototypejs.org/api/string/escapeHTML. Se você vai persistir o conteúdo da input e listá-lo novamente em outras páginas, é mais fácil já limpar o campo com o jtidy antes de persisti-lo, assim você paga o overhead de limpar as entidades html uma vez só.
[quote=javamail]Pessoa, como posso prevenir contra atributos HTML, e JavaScript?
POis o usuarui pode digitar um alert em JS em input, e com isso sempre aparece o result, como consigo uma forma de não permetir?[/quote]