Par exemple :
Concernant la prévention des attaques XSS, l'encodage HTML doit-il être effectué lors de la saisie de l'utilisateur ? Encodage HTML lors de la sortie de la page ? Quelle solution est la meilleure ?
Personnellement, je pense qu'il est plus pratique d'encoder lors de la saisie, car il y aura plus de pages avec du contenu de sortie, et il est facile de manquer lors de l'encodage à chaque fois. Cependant, dans les applications réelles, il semble que l'encodage lors de la sortie. est-ce plus pratique ?
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
Pour le filtrage XSS, n'oubliez pas que
doit être filtré côté serveur ! ! ! ! ! ! !
Assurez-vous de filtrer lors de la sortie ! ! ! ! !
Côté serveur : Écrire l'échappement de la bibliothèque, échapper lors de l'affichage
Je m'échappe généralement lorsque je tape pour empêcher l'injection SQL