目前对XSS在哪个过程转义还不是很清晰。如果在插入数据库之前转义,那么有可能会转义后的字符长度超出了数据库字段定义的长度,导致无法存储或者被截断。但如果在从数据库中读取之后再转义,貌似又有点性能问题,比如访问量大的话,每次读取再转义,或多或少有性能损耗。所以一直不知道应该在哪个过程转义比较合适。觉得存储之前和之后转义都有问题。
1 回答
手掌心
TA贡献1942条经验 获得超3个赞
读取之后转义完全可行 没什么性能问题
例如 springboot的thymeleaf模版 都做自动对输出字符串转义
如果是前后端分离 类似vue也是自动转义的, 而且是在客户端上进行的 更加没有性能问题
放心用吧..
添加回答
举报
0/150
提交
取消