我应该清理快速 js 中的用户输入吗?

【问题标题】:Should i sanitize user inputs in express js?我应该清理快速 js 中的用户输入吗?
【发布时间】:2020-07-07 15:14:16
【问题描述】:

我使用 express-validator escape() 来清理用户输入并使用参数化查询将转义数据保存在数据库中。当我使用 EJS 视图引擎渲染来自数据库的输入时,我得到了转义字符。例如'变成' 我需要在渲染时取消它们吗?或者我不应该使用消毒?

【问题讨论】:

    标签: node.js express html-encode html-escape-characters express-validator


    【解决方案1】:

    最佳实践是始终存储原始数据,因此如果用户发送“

    ”,您将“

    ”存储在您的数据库中,然后您将 escape the string on the client side(或者如果您使用的是服务器端)服务器端渲染),然后在 HTML 上显示到prevent XSS。所以不要escape()你的快递应用上的字符串,只存储原始文本。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2012-05-10
      • 2010-11-18
      • 1970-01-01
      • 2016-05-28
      • 1970-01-01
      • 2021-01-28
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode