在我们的应用程序中,有一个自由格式文本字段。在UI中,我们限制用户输入脚本。但是,用户仍然可以使用Postman输入一些脚本。那么,在插入数据库之前,服务器端是否需要进行卫生处理?或者,由于这是JavaScript,当数据显示在浏览器上时,只有UI必须处理它?</ p>
https://www.owasp.org/index.php/XSS_Prevention_Framework_Cheat_Sheet
答案 0 :(得分:0)
如果使用SQL查询参数进行插入,则无需为了防止SQL注入而“清理”数据。
如果要阻止XSS,请在输出之前清理数据。