两者中的哪一个是防止xss攻击的更好方法.
- 在db中保存的HTMLEntities
- 显示/回显时的HTMLEntities
2 - 您应该在最后一刻转换为目标格式.这可以帮助您避免遇到问题,例如,您决定要在电子邮件,PDF中使用相同的内容,将文本作为文本返回给用户进行编辑等.
我发现第一个更好,因为你可能忘记在显示时添加它
插入数据库时也可能会忘记.
此外,并非所有数据都进入数据库.例如,由于错误而要插入的数据的预览或放回到表单中的数据都是可能的XSS向量.您不希望处理诸如"在放入数据库之前进行编码,或者如果它不是来自数据库则回显到文档中"之类的事情.例外是让自己陷入忘记编码状态的最佳方式.
| 归档时间: |
|
| 查看次数: |
740 次 |
| 最近记录: |