你无法从数据中得知.
例如:
Bob & Alice
...可以是"HTML表示Bob & Alice",也可以是"纯文本表示Bob & Alice"(例如来自HTML教程).
既然你说:
取决于数据来自何处
...跟踪它的来源,并确保您知道源是否提供受信任的HTML或纯文本.
如果您不知道,那么您如何处理它将取决于上下文.安全选项是假设它始终是纯文本,因此始终对其进行编码.这将保护您免受脚本注入攻击.
| 归档时间: |
|
| 查看次数: |
2095 次 |
| 最近记录: |