Валидация, профилактика или лечение XSS?

Question

Я пытаюсь создать защищенный от взлома сайт и узнаю о XSS.Таким образом, процесс

A: Получить пользовательский ввод -> B: сохранить его -> C: показать его снова клиенту

Я использую библиотеку Microsoft AntiXSS, чтобы избежать атак XSS, нопутаница заключается в том, чтобы выполнить необходимые шаги, чтобы избежать атак XSS на этапе «B» или на этапе «C».

Answer 1

Вы должны проводить дезинфекцию в том месте, где вы представляете контент, потому что это единственный момент, когда это важно.

В более сложном сценарии ваш поток данных может выглядеть следующим образом:

                          /---> C (presentation)
A (get input) -> B (store) 
                          \---> D (process)

Если вы уже очистили данные в точке B, то обработка в точке D не сможет работать с исходными данными.