我是否必须清理AJAX响应数据？

Question

我已经在网上搜索了这个，但没有找到。

我使用AJAX的形式张贴到process.php这将验证和消毒公布的数据，如果成功他将呼应通过AJAX响应串“成功”。在输出给用户之前，是否必须清理并排除字符串“成功”？ 知道字符串“成功”不是一个用户输入，它只是我写的一个字符串，用于指示成功的过程。

即使是由我创建的，我是否需要清理和转义任何AJAX响应数据？ 这是因为在其他页面中，我直接从处理php页面回应了很多HTML元素，所以我可以将它们放入AJAX响应中，并使用innerHTML将它们直接输出到用户而不进行过滤。

谢谢

Answer 1

如果您已经验证和消毒的POST-ED的数据，没有必要运行通过AJAX响应的第二步。我也回应了很多HTML元素，并直接回应它。您需要通过用户输入验证您的AJAX不容易受到XSS的攻击。但是，如果您“不小心”在自己的字符串中包含脚本，那么这将是一个问题。