1
是否有人實現了一個良好的系統來確保輸出正確地進行HTML編碼,從而使其有意義?甚至可以識別什麼時候輸出應該是URL編碼或JSON編碼的東西呢?用於確保HTML和URL編碼的技術
懶惰的方法 - 僅對所有輸入進行編碼 - 當您想要將這些輸入發送到數據庫或JavaScript代碼塊時會導致問題。所以需要一些更智能的東西。
繁瑣的方法 - 在模板上的每條數據周圍放置正確的編碼函數 - 可以工作,但開發人員很容易忘記這麼做。
是否有一個很好的方法可以讓開發人員更容易,並確保正確的編碼完成?我正在聽SO播客之一,Joel拋出了一個關於使用類型化數據實施HTML編碼字符串和非編碼字符串之間差異的想法。也許這可能是一個起點。
我正在尋找更多的策略,而不是一個特定語言的實現(儘管我很樂意聽到關於已經存在和工作的實現)。
編輯:這裏有一些鏈接,到目前爲止,我發現:
- A type-based solution to the "strings problem"
- String::Smart
- Reducing XSS by way of Automatic Context-Aware Escaping in Template Systems
- Secure String Interpolation in JS
什麼是服務器端語言,您在說什麼平臺?如果你想得到詳細的答案,這是必要的信息IMO。 – 2010-03-08 15:41:06
我使用PHP,但看到最後一段。 – 2010-03-08 15:46:11