V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
vvii
V2EX  ›  PHP

对于XSS的一般处理,输入的时候encode?输出的时候encode?哪种处理更优?

  •  
  •   vvii · 2013-08-12 10:57:37 +08:00 · 4379 次点击
    这是一个创建于 4106 天前的主题,其中的信息可能已经有所发展或是发生改变。
    8 条回复    1970-01-01 08:00:00 +08:00
    cloudzhou
        1
    cloudzhou  
       2013-08-12 11:18:53 +08:00
    现有的大多数框架是输出的时候encode,因为尽量保存原始输入信息。
    otakustay
        2
    otakustay  
       2013-08-12 11:45:13 +08:00
    显然输出的时候encode才是正确的,假设一串输入是abc,你输入时进行encode变成xyz,随后有人告诉你现在新发现了一个XSS漏洞,其中xy字符是要encode的不然会出问题,请问你要怎么处理数据库中已经有了的数据?再encode一次的话输出就出错了,不encode的话输出又是XSS漏洞
    Mutoo
        3
    Mutoo  
       2013-08-12 12:39:34 +08:00
    输入防 SQL Injection,输出防 XSS
    lqs
        4
    lqs  
       2013-08-12 22:13:18 +08:00
    输出时。如果怕忘掉就选用一个默认自动encode的模板引擎。
    qiaoy
        5
    qiaoy  
       2013-08-13 14:27:23 +08:00
    @Mutoo sql注入和xss都需要在输入处做防护的,输出处不可控。
    vvii
        6
    vvii  
    OP
       2013-08-13 14:39:17 +08:00
    @qiaoy 为什么输出不可控呢?
    hxgdzyuyi
        7
    hxgdzyuyi  
       2013-08-13 22:14:11 +08:00
    输出吧。 要考虑数据可能要给移动端使用
    kelz
        8
    kelz  
       2013-08-13 23:42:58 +08:00
    关于xss的解决方案可参考freebuf的作者写的文章 http://www.freebuf.com/author/jiayzhan
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2843 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 02:12 · PVG 10:12 · LAX 18:12 · JFK 21:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.