标签: javascript html security web
我希望在某些输入文本字段中允许HTML。当前,当我在服务器上收到它们时,我会检查它们是否经过HTML编码,如果没有,则在将它们保存到数据库之前,我会对它们进行HTML编码。
当我将它们返回给客户端时,它们是经过HTML编码的,并且只有将它们输入到输入类型文本字段中时,我才对其进行HTML解码。
将数据发布到服务器时,除了在服务器上对字段进行编码外,如果我还在客户端上 对HTML中的这些字段进行HTML编码,也有什么区别吗?有最佳做法吗?有没有建议不要在客户端上对它们进行编码?