我一直在开发一个不允许HTML格式化的系统.我目前使用的方法是在HTML实体插入数据库之前对其进行转义.有人告诉我应该将原始文本插入数据库,并在输出时转义HTML实体.
我在这里看到的其他类似问题类似于HTML仍然可以用于格式化的情况,所以我想问一个HTML根本不会被使用的情况.
我一直在开发一个不允许HTML格式化的系统.我目前使用的方法是在HTML实体插入数据库之前对其进行转义.有人告诉我应该将原始文本插入数据库,并在输出时转义HTML实体.
我在这里看到的其他类似问题类似于HTML仍然可以用于格式化的情况,所以我想问一个HTML根本不会被使用的情况.
在插入到数据库之前执行转义时,您还将限制自己.假设您决定不使用HTML作为输出,而使用JSON、明文等.
如果您在数据库中存储了转义的html,则必须首先对存储在数据库中的值进行"取消转义",以便再次将其重新转义为不同的格式.
也看到这个完美的owasp article on xss prevention