我已经在网上搜索了这个但是无处可去。
我正在使用AJAX将表单发布到 process.php ,这将验证并清理发布的数据,如果成功,它将回显字符串&#34;成功&#34; < / strong>通过AJAX响应。在输出字符串&#34;成功&#34; 之前,我是否必须将其输出给用户? 知道字符串&#34;成功&#34; 不是用户输入,而只是我写的成功过程的字符串。
我是否必须清理和转义任何AJAX响应数据,即使它是由我创建的? 这是因为在其他页面中我直接从处理php页面回显了很多HTML元素,所以我可以在AJAX响应中获取它们并使用innerHTML直接将它们输出给用户而不进行过滤。
谢谢
答案 0 :(得分:1)
如果您已经验证并清理了POST-ed数据,则无需再通过AJAX响应运行第二步。我也回应了很多HTML元素,并直接回应它。您需要通过用户输入验证您的AJAX不易受XSS攻击。但是,如果您“意外地”在自己的字符串中包含脚本,那么这将是一个问题。