Javascript 在我用php中的FILTER_SANITIZE_STRING检查值之后,我是否需要前端js中的htmlspecialchars()
当我保存数据库中的所有数据时,我用Javascript 在我用php中的FILTER_SANITIZE_STRING检查值之后,我是否需要前端js中的htmlspecialchars(),javascript,php,xss,Javascript,Php,Xss,当我保存数据库中的所有数据时,我用filter\u var($value,filter\u SANITIZE\u STRING)检查了它 为了以后显示这些数据,我在前端JS中发出GET请求,并通过JS将其插入DOM中 我是否仍然需要htmlspecialchars()或其他东西来防止恶意代码???使用前端检查并不常见,但如果您关心您的用户,您应该这样做 我不建议使用内联javascript(如果可能的话),您可以对发送一些http头(如CSP、feature、referer等)进行很多限制 浏
filter\u var($value,filter\u SANITIZE\u STRING)我是否仍然需要htmlspecialchars()或其他东西来防止恶意代码???使用前端检查并不常见,但如果您关心您的用户,您应该这样做 我不建议使用内联javascript(如果可能的话),您可以对发送一些http头(如CSP、feature、referer等)进行很多限制 浏览器可以理解这些,并保护您的用户 您可以使用mozilla observatory获得关于http头的更精确的建议。
你会发现这篇文章内容丰富。如果它回答了你的问题,请告诉我。谢谢我从不重复我的语句,而是通过ajax作为JSON获取它们。所以我想我在使用.innerHTML=value时必须小心。