我想知道將XSS保護放在我們網站的最佳位置。由於我們使用不同的平臺,我們的團隊被分成前端和後端團隊,並將REST用作我們兩個團隊之間的API。我們有一個可以保存應該受保護的HTML子集的字段,我想知道應該在什麼層次上完成這個任務。REST Web服務和放置XSS保護的位置
不應該被web服務允許進入數據庫,還是應該在出路時由消費者驗證,確保安全?對於不能包含HTML的字段,我們只是保存爲原始輸入,並在呈現之前讓前端將其轉義。
我的觀點是,如果有人試圖使用不允許的標籤,web服務應該響應數據無效(我們一直在使用422來表示無效更新)。我只是想知道別人的想法。