这是一个创建于 4505 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 cloudzhou 2013-08-12 11:18:53 +08:00 现有的大多数框架是输出的时候encode,因为尽量保存原始输入信息。 |
 | 2 otakustay 2013-08-12 11:45:13 +08:00 显然输出的时候encode才是正确的,假设一串输入是abc,你输入时进行encode变成xyz,随后有人告诉你现在新发现了一个XSS漏洞,其中xy字符是要encode的不然会出问题,请问你要怎么处理数据库中已经有了的数据?再encode一次的话输出就出错了,不encode的话输出又是XSS漏洞 |
 | 3 Mutoo 2013-08-12 12:39:34 +08:00 输入防 SQL Injection,输出防 XSS |
 | 4 lqs 2013-08-12 22:13:18 +08:00 输出时。如果怕忘掉就选用一个默认自动encode的模板引擎。 |
 | 7 hxgdzyuyi 2013-08-13 22:14:11 +08:00 输出吧。 要考虑数据可能要给移动端使用 |
 | 8 kelz 2013-08-13 23:42:58 +08:00 关于xss的解决方案可参考freebuf的作者写的文章 http://www.freebuf.com/author/jiayzhan |
Select Language