html入库到底应不应该编码?

红酒花生 发布于 2016/10/18 17:19
阅读 336
收藏 1
积分商城,商品详情,后台添加商品详情信息,都说要编码入库,然后解码输出到页面,为什么要这么做?直接不编码入库不是挺好的吗?
加载中
0
leo108
leo108

编码入库不解码输出

或者不编码入库,编码输出

0
手握华为赛神仙
手握华为赛神仙
编码入库是啥?
第一班火车
第一班火车
加1
0
szwx855
szwx855
编码入库不解码输出
0
白狼栈
白狼栈
原则上保证用户输入内容与输出内容一致就好!
0
fly2xiang
fly2xiang

题主说的应该是富文本内容,如果在输出时是编码过的就是普通文本了,起不到富文本的效果。

此处应当在入库前作 XSS 过滤,去掉当中的 javascript 代码。

另外可以在保证页面中没有内联的 javascript 代码时在前台页面输出时添加 HTTP 头:

Content-Security-Policy

来防止 XSS ,具体可参考 https://developer.mozilla.org/zh-CN/docs/Web/Security/CSP

0
AlanShi
AlanShi
输出做了转码之后,不编码入库一般情况下也不是大问题,但问题在于你自己都不知道哪天会因为一时疏忽某个页面,某个子系统,某个跟友商对接的接口输出没有做转码处理,等等等,等出了这些问题你才知道什么叫定时炸弹
返回顶部
顶部