文本域中输入<tr>或者<td>，导致保存此文本域的表格严重变形。

行走中

我测文本域的时候，习惯性地考虑输入脚本语言，看能否正确地显示出来。我是应届毕业生，到公司没多长时间，测试的模块任何一个文本框里输入类似<html><script><br>……都不会显示出来。输入<tr><td>时，则页面的表格完全变形，页面也跟着走形。向别人发问的时候，得到的答案是：客户不会往这些区域输入这些脚本语言，可以说你就是在破坏程序。我很疑惑，到底这方面该不该测试？开发人员该不该考虑到这些方面？

行走中

没人帮我一下吗？

dmxie

可以考虑。开发人员可以将脚本语言转译，避免此问题。但一般用户是不太会输脚本语言的，只能测试会这么干。但此问题修改好有助于增强安全性。

hbm

这算是bug，开发只要对标签转义处理就可以了.......
用户不会这么干，如果是专门黑客之类的寻找漏洞攻击，那可能这就是一个出发点

行走中

哦，谢谢，明白了。那根据我们这里开发人员工作的忙碌，这种问题我说都不要说，否则净是给他们找麻烦。

aishifu1

建议输入
<script>while(true){alert("xiaobai");}</script>

行走中

回复 6# aishifu1


    这也太强悍了！！！！

apolloax

<script>while(true){alert("xiaobai");}</script>

qingfeng0512

这个 我觉得都可以算是一个比较严重的了，万一存在什么黑客要来搞你，不久死翘翘了。

罗晶淼

这种东西不好说  就像我测试搜索框 输入英文下的单引号  引发系统异常  开发就说 用户只会输入单引号内的内容  不会画蛇添足的还输入单引号来做搜索  这不是自找麻烦么

跑跑跑跑

回复 10# 罗晶淼


    这种问题必须解决

利勇lmm

回复 10# 罗晶淼


    这个不好说，这是一个bug