客户端提交特殊字符怎么处理才合理?
理想是输入什么返回什么,但是特殊字符必须要转义(防止攻击)
网上找了些答案归纳下面几种:
1,京东编辑地理位置 特殊字符 统一替换空字符 不清楚为啥
2,淘宝 知乎 均原样展示
这就体现差距了。。。。。。
但是后端是怎么个处理流程呢 大家伙集思广益。
1.后端存储是存转义后的字符 html 不需要转义 app 需要转义
2.后端存储不转义的字符 html 需要转义 app 不需要转义
3.考虑未来数据需要做分析等
4.考虑安全性等
alert("skdk**&*&^&^%%”)csdn 看不到 script 标签
alert("skdk**&*&^&^%%”)可以自定义转换字符,前台显示再恢复过来就行,可以通过JS正则转换,比如:将 单引号(')转换成自定义字符串(anics_dyh)