我想保护我的网站表单xss,并且我想确保我所有的数据都是正确且一致的,所以我不想允许向我的数据库添加任何脚本,这是因为我的数据可能会被其他Web服务使用,因此我想确保我的数据是正确的,不会对他人造成任何问题。
我只想在数据的输入中进行验证,而不是在输出中进行验证,因此我将只进行一次验证,而且我将确保数据库中没有脚本。
编辑 :请检查我添加的最后一条评论。
使用一些过滤器清除HTTP请求数据。
您可以去jsoup,它非常方便:
String unsafe = "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>"; String safe = Jsoup.clean(unsafe, Whitelist.basic()); // now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>
参考:http : //jsoup.org/cookbook/cleaning-html/whitelist- sanitizer
