有没有人实施过一个好的系统来确保输出在有意义的情况下进行正确的HTML编码?也许甚至可以识别输出应该是URL编码还是JSON编码的东西?
惰性方法 - 只编码所有输入 - 当您想将这些输入发送到数据库或JavaScript代码块时会导致问题。所以需要一些更聪明的东西。
繁琐的方法 - 在模板上的每个数据周围放置适当的编码功能 - 有效,但开发人员很容易忘记这样做。
是否有一种好的方法可以让开发人员轻松完成,并确保完成正确的编码?我正在收听其中一个SO播客,Joel抛出了一个关于使用类型化数据来强制HTML编码字符串和非编码字符串之间差异的想法。也许这可能是一个起点。
我正在寻找一种策略而不是特定语言的实现(尽管我很高兴听到已经存在并且有效的实现)。
编辑:以下是我目前发现的一些链接:
答案 0 :(得分:0)
进入数据库的数据可能不应该为HTML,JavaScript或者你有什么转义。如果您做包含标记,那么如果您决定将此数据注入CSV文件或PDF等,则只需将其删除...
相反,每当您从数据库中查询这样的“原始”数据时,请在适当的时间将数据转义到您注入的任何位置; HTML,JavaScript字符串,服务器端脚本等