Xss sanitizer

[sirdaiz]

Hola,

Tengo una aplicación que tiene varios forms, supongmoas que tengo un formualrio:

 <form>

 <input type="text" name="nombre" />

  <input type="text" name="apellido" />

</form>

Y cuando rellenan el form ponen en nombre por ejm:

<script type="text/javascript"> alert("Hola Mundo!"); </script>

Entonces vuelva al listado esa alerta se abre en un popup, como puedo solventar esto?

Tengo que ir a cada campo text en el back y quitarle las etiquetas o hay alguna forma o plugin que me ayude a solventar esto de forma rápida?

Gracias

[Iván López]

Hola,

La solución que yo siempre he usado es no preocuparme de lo que introduce el usuario y siempre escapar a la hora de mostrarlo. De esta forma, aunque el usuario ponga el `alert("Hola")`, a la hora de mostrarlo en una GSP siempre se va a escapar y no va a salir el popup. Grails debería protegerte de eso por defecto a menos que lo hayas desactivado o que estés usando `raw(....)` en las GSPs.

De hecho, lo que hacíamos en los proyectos es cargar datos de prueba (para desarrollo) con nombres como ese con el alert, de tal forma que si nos salía el popup alguna vez, sabíamos que estábamos haciendo algo mal y teníamos que corregirlo.

Saludos, Iván.

--
@ilopmar

--
Has recibido este mensaje porque estás suscrito al grupo "grailsEnCastellano" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a grailsencastell...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/grailsencastellano/35ed35ba-2441-4715-8380-46134335f58dn%40googlegroups.com.