我在 UI/表示层 (AngularJS) 有很多文本框,文本框的值通过服务器端的有效负载发送到我们的服务器,该有效负载是用 C# 编写的。在渗透测试期间,我观察到他们能够将 JavaScript 输入到文本字段中,并且相同的内容被传递到服务器端。我的问题是:我们如何以通用方式验证用户提供的输入在第一级不是 JavaScript?因为我的应用程序有数百个文本字段,所以我需要覆盖所有文本字段,这可能很棘手。是否有任何最佳实践可以让我在第一级限制 JavaScript 输入?请推荐。