XSS验证、预防还是治疗？

Question

我正在尝试制作一个防黑客的网站，并学习XSS。所以这个过程是

A: Get User Input -> B:将其存储C:再次显示给客户端

我正在使用微软的AntiXSS库来避免XSS攻击，但是，令人困惑的是，我应该在步骤'B‘还是在步骤'C’执行必要的步骤来避免XSS攻击。

Answer 1

您应该在呈现内容的位置执行消毒，因为这是唯一重要的点。

在更复杂的场景中，您的数据流可能如下所示：

                          /---> C (presentation)
A (get input) -> B (store) 
                          \---> D (process)

如果您已经对B点的数据进行了清理，那么D点的处理将不能对原始数据进行操作。