首页 新闻 会员 周边 捐助

Xss过滤应该在提交的时候,还是在请求的时候

0
悬赏园豆:15 [待解决问题]

Xss攻击过滤,应该在提交的时候,就转义字符,然后放到数据库,还是将原始数据存到数据库,在请求的时候,在转义。

如果在提交的时候就转移,那数据库字段长度必须设置为之前的5倍,而且检索查询等可能还会造成问题。如果在请求的时候转义,每次都要进行转义,感觉太麻烦,但是这样在非http请求的情况下(就是非web端请求数据,不用再去反转义了)。

我个人感觉请求的时候转义号,不知道大家觉得应该咋样处理好点

时光之书的主页 时光之书 | 初学一级 | 园豆:12
提问于:2018-09-04 11:20
< >
分享
所有回答(1)
0

我觉得优先采用在提交的时候进行 html 编码。“数据库字段长度必须设置为之前的5倍”,这个说法不准确,只有html标签且只有其中少部分字符会被编码。“检索查询等可能还会造成问题”,一般不会检索 html 标签。

dudu | 园豆:30778 (高人七级) | 2018-09-04 11:55

对呀,我是防止意外情况,其实很多字段根本不允许输入特殊字符,也没有必要做Xss处理。但是有些Xss攻击不一定非得是<script>标签这种,如果一个字段出现在属性上(src或者href),或者本身就出现在了script标签中,也是要做转义的。假设数据库存了个url,url肯定是在src上,那就要转移":","(",")"之类的字符

支持(0) 反对(0) 时光之书 | 园豆:12 (初学一级) | 2018-09-04 12:03
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册