不要尝试净化输入,而应该转义输出

2024-07-14

文章指出,为了防止跨站脚本攻击,开发者通常会尝试“净化用户输入”,但这会导致错误的安全感,并可能损坏正常输入。相反,文章建议开发者应该对输出进行转义,因为只有输出代码才知道哪些字符在特定上下文中是危险的。文章还讨论了在处理用户输入的HTML或Markdown时的特殊情况,以及输入验证的重要性。