服务端 get 请求的输入内容处理与入库策略
XSS 攻击预防措施通常强调用户输入内容转义,但当一个 GET 请求需要跨端响应时,这一策略的实施会带来一些问题。对于 Web 端通过 SSR 处理或 Ajax 展示的请求,转义会导致内容显示异常。而对于 iOS/Android 端,直接存入数据库时转义,则会使原始内容丢失。
那么,后端的输入内容处理应该如何应对?
首先,前端和后端的处理逻辑是不同的。前端验证是用户体验问题,而后端验证是安全问题。由于前端可以被绕过,因此后端验证是必不可少的。
对于从前端接收的数据,后端应该执行以下步骤:
验证和校验:对数据进行格式和合法性检查,确保数据符合预期。原始存储:以原始格式将数据存入数据库,确保数据完整性并防止 SQL 注入。多端展示前转义:在跨端响应前,根据不同端的展示方式对数据进行转义处理,保证在所有端都能安全展示。
为什么要先原始存储再转义?因为直接存入转义后的内容会导致:
原始内容丢失。从原始格式转换到另一种格式时可能有兼容性问题。
因此,遵循先原始存储再多端转义的策略,既保证了数据安全,又确保了所有端的正常展示。
以上就是后端 GET 请求的输入内容处理:如何平衡安全性与跨端展示?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1557507.html
微信扫一扫 
支付宝扫一扫 
