Ho un campo di testo di input per accettare l'ID email. Se l'ID email non è inserito dall'utente, Ho una convalida lato client utilizzando Java Script per visualizzare il messaggio di errore che si legge come "Si prega di inserire un ID e-mail valido". Il codice è come,
if(EmailIdIsNull)
{
error = "Please enter valid email id";
//Submit this error message to the form
}
Questo modo di gestire il controllo è vulnerabile all'iniezione di caratteri pericolosi. Ad es., È stato modificato "Immettere l'ID e-mail valido" su "%22@27%3ECIMG+SRC%3D.html%22%3E"
La soluzione per questo è stata data come,
"If available, use structured mechanisms that automatically enforce the separation
between data and code. These mechanisms may be able to provide the relevant quoting,
encoding and validation automatically, instead of relying on the developer to provide
this capability at every point where output is generated"
Sto cercando una spiegazione della soluzione di cui sopra. Inoltre, come si può applicare sopra la soluzione nel mio caso per quanto riguarda il controllo lato client di ID e-mail?