网页输出安全性的宽泛性
你提到了一篇有关 Web 安全的文章中的一句话:“任何内容输出到页面之前都必须加以 en-code,避免不小心把 html tag 显示出来。”这引发了一个问题:这句话中的“任何内容”是什么意思?
传统的理解是,为了防止 SQL 注入或 XSS 攻击,所有用户输入的变量在输出到 HTML 或 JavaScript 时都必须进行过滤。然而,“任何输出”的说法更加广泛。
该说法强调需要对输出到页面上的 所有内容 进行编码,不仅仅是用户可以控制的变量。这包括:
原因在于,即使用户输入不受控制,也可能存在来自其他来源的 XSS 漏洞,例如后台系统中的数据或 API 返回的数据。因此,在输出到页面之前对所有内容进行编码至关重要,以防止潜在的 XSS 攻击,即使这些内容似乎不受用户控制。
以上就是Web 安全:页面输出的“任何内容”究竟指什么?的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
778
收藏
