如何能够更有效的防止跨站脚本攻击,在提交内容页面时,对所有提交内容进行过滤和转换,是否有点粗糟?
恶意用户的Html输入——>web程序——>进入数据库——>web程序——>用户浏览器
所以数据的转换和过滤是可以在3个地方进行转换,当然在进入数据库前转换是最好的,是不是要对所有提交内容进行过滤和转换要看你的应用对安全的要求,当然最好是在一个地方,比如写一个拦截器拦截所有输入参数,进行检测和转换,这样最省心。当然没有绝对的安全。