我的flutter应用程序中有很多输入,用户可以向其中添加文本。数据被发送到云函数,如果有效,则被插入到firestore文档中。我最近遇到了数据净化,开始怀疑我是否应该在我的云功能中这样做。
我读过nodejs函数escape((可以做到这一点,但它似乎破坏了用户可以插入的某些webURLS。
为了firestore而逃离数据,然后在flutter应用程序上取消浏览,这样他们就可以真正点击链接,这似乎毫无意义。
转义所有数据(例如注释等(重要吗?如果重要,对麻烦的URL链接应该采取什么方法。
(偶尔我可能会在html页面中查看用户输入数据。如果这也可能导致XSS问题,请告诉我除了在显示前转义之外的其他修复方法。(
谢谢各位
我最近遇到了数据净化,并开始怀疑我是否应该在我的云功能中这样做。
在编写后端代码(如使用云函数(时,唯一安全的位置是永远不要信任来自客户端的数据。应检查或验证任何输入,以避免使用恶意数据进行危险操作。
仅仅为了firestore而逃离数据,然后在flutter应用程序上取消捕捉,这样他们就可以真正点击链接,这似乎毫无意义。
转义是以下协议的必要组成部分。HTTP协议规定了URL和请求体中可以存在哪些字符,不能存在哪些字符。除此之外的任何事情,数据都可能被拒绝,或者干脆完全失败。
转义所有数据(例如注释等(重要吗?如果重要,应该对麻烦的URL链接采取什么方法。
这不仅很重要,而且是必需的。
如果输入数据是"0";"麻烦";,简单地拒绝它,因为它可能是恶意的。