V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
breeswish
V2EX  ›  程序员

HTML过滤应当在输入时进行还是输出时进行?

  •  
  •   breeswish · 2012-12-04 19:48:26 +08:00 · 4156 次点击
    这是一个创建于 4408 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题。大家觉得哪种好呢
    17 条回复    1970-01-01 08:00:00 +08:00
    Rabbit52
        1
    Rabbit52  
       2012-12-04 19:50:27 +08:00
    看需求进行选择
    cxh116
        2
    cxh116  
       2012-12-04 20:13:18 +08:00
    个人偏向输出时过滤,这样以后还可以修补
    输入时就过滤,以后出问题了改数据库麻烦
    zooandzoo
        3
    zooandzoo  
       2012-12-04 20:19:48 +08:00   ❤️ 1
    输入,如果这个接口是开放的。。你要让对方自己去过滤去?
    gamexg
        4
    gamexg  
       2012-12-04 20:49:09 +08:00
    建议输出,对外提供接口的话在接口处提供过滤就可以了。
    chloerei
        5
    chloerei  
       2012-12-04 20:53:07 +08:00
    @zooandzoo 你在接口输出的时候过滤就行了。
    twm
        6
    twm  
       2012-12-04 21:40:04 +08:00
    输入的时候进行效率高,以后查询不用做额外工作,但不够灵活。
    输出的时候进行效率地,以后查询需要做额外工作,但很是灵活。
    laiwei
        7
    laiwei  
       2012-12-04 21:45:01 +08:00
    建议输出!
    MayLava
        8
    MayLava  
       2012-12-04 22:19:43 +08:00
    ……我能很蛋疼的封装两个接口么?
    第一个接口是输出html的
    第二个接口是调用第一个接口然后过滤掉html
    binux
        9
    binux  
       2012-12-04 23:12:41 +08:00
    来自开放用户,输入。其他,输出
    dallaslu
        10
    dallaslu  
       2012-12-05 09:38:49 +08:00
    保存两份数据:

    1、未经任何处理的原始数据
    2、经过安全过滤的HTML代码

    好处:

    1、避免安全过滤方法的潜在缺陷影响内容
    2、输出灵活,不需再次处理效率高
    chloerei
        11
    chloerei  
       2012-12-05 10:01:44 +08:00
    输出过滤可以加 cache,性能和输入过滤一样。
    xiaoks
        12
    xiaoks  
       2012-12-06 12:57:14 +08:00
    输入输出都应该进行过滤 如果输入没有更好的过滤 很容易被绕过 还有非存储型xss 如果输出没处理 那就容易产生存储型xss 一样很可怕
    Evance
        13
    Evance  
       2012-12-06 13:05:57 +08:00
    输入输出都过滤。
    什么性能什么麻烦在安全面前,其实优先级都不如它高。

    这是开发的原则问题。
    voidman
        14
    voidman  
       2012-12-06 16:27:43 +08:00
    先过滤后输出
    breeswish
        15
    breeswish  
    OP
       2012-12-06 23:25:35 +08:00
    @Evance 两次的话那怎么处理诸如&变&这种呢……
    breeswish
        16
    breeswish  
    OP
       2012-12-06 23:26:10 +08:00
    @Evance & a m p ;
    hehe
        17
    hehe  
       2012-12-06 23:30:53 +08:00
    个人偏向输入+输出
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2762 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 12:40 · PVG 20:40 · LAX 04:40 · JFK 07:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.