目前對XSS在哪個過程轉義還不是很清晰。如果在插入數據庫之前轉義,那么有可能會轉義后的字符長度超出了數據庫字段定義的長度,導致無法存儲或者被截斷。但如果在從數據庫中讀取之后再轉義,貌似又有點性能問題,比如訪問量大的話,每次讀取再轉義,或多或少有性能損耗。所以一直不知道應該在哪個過程轉義比較合適。覺得存儲之前和之后轉義都有問題。
1 回答
手掌心
TA貢獻1942條經驗 獲得超3個贊
讀取之后轉義完全可行 沒什么性能問題
例如 springboot的thymeleaf模版 都做自動對輸出字符串轉義
如果是前后端分離 類似vue也是自動轉義的, 而且是在客戶端上進行的 更加沒有性能問題
放心用吧..
添加回答
舉報
0/150
提交
取消