我是否必須清理AJAX響應數據？

Question

我已經在網上搜索了這個，但沒有找到。

我使用AJAX的形式張貼到process.php這將驗證和消毒公佈的數據，如果成功他將呼應通過AJAX響應串「成功」。在輸出給用戶之前，是否必須清理並排除字符串「成功」？ 知道字符串「成功」不是一個用戶輸入，它只是我寫的一個字符串，用於指示成功的過程。

即使是由我創建的，我是否需要清理和轉義任何AJAX響應數據？ 這是因爲在其他頁面中，我直接從處理php頁面迴應了很多HTML元素，所以我可以將它們放入AJAX響應中，並使用innerHTML將它們直接輸出到用戶而不進行過濾。

謝謝

Answer 1

如果您已經驗證和消毒的POST-ED的數據，沒有必要運行通過AJAX響應的第二步。我也迴應了很多HTML元素，並直接回應它。您需要通過用戶輸入驗證您的AJAX不容易受到XSS的攻擊。但是，如果您「不小心」在自己的字符串中包含腳本，那麼這將是一個問題。