消毒用户输入的最佳方式是什么？

Question

我需要尽可能以集中的方式防止XSS攻击，这样我就不必显式清理每个输入。

我的问题是在URL /请求处理级别消毒所有输入，在服务之前对输入进行编码/消毒，还是在显示级别（输出消毒）都更好？ 哪一个更好？为什么？

Answer 1

有，你需要注意两个方面：

1. 任何地方，你在任何语言中，最值得注意的是，包括SQL中使用输入作为脚本的一部分。在SQL的特殊情况下，只有推荐的处理事情的方式是使用参数化查询（这会导致非转义内容在数据库中，但正如字符串：这很理想）。在将字符直接替换为SQL字符串之前，任何涉及字符的神奇引用都是次要的（因为它很容易出错）。任何无法通过参数化查询完成的事情都是针对SQL注入的服务应该永远不允许用户指定。

2. 任何地方，您呈现的内容都是输入的内容。输入源可以是直接的（包括通过cookie）或间接的（通过数据库或文件）。在这种情况下，您的默认方法应该是将用户看到的文本作为输入的文本。这很容易正确实现，因为您实际上只需引用的字符是<和&，并且您可以将其全部包装在<pre>中进行显示。

但这通常是不够的。例如，您可能想要允许用户进行某种格式化。这是它容易出错的地方。在这种情况下最简单的方法是解析输入并检测所有格式化指令;一切都需要正确引用。您应该将格式化版本额外存储在数据库中作为额外的列，以便在将其返回给用户时不需要做太多工作，但是您还应该存储用户输入的原始版本，以便您可以搜索它。 不要混淆！真的！审核您的应用程序，使完全确保您得到这个权利（或者，更好的是让别人来做审计）。

但是，关于使用SQL小心的一切仍然适用，并且有许多永远不会安全的HTML标记（例如，<script>，<object>）和属性（例如，onclick）。

---

您正在寻找有关特定包做的工作的建议？你真的需要选择一种语言。上述建议完全与语言无关。附加软件包/库可以使上述许多步骤在实践中变得非常简单，但您仍然需要小心。