确保 HTML 和 URL 编码的技术

Question

有没有人实现了一个好的系统来确保输出在有意义的情况下正确地进行 HTML 编码？也许甚至可以识别输出何时应采用 URL 编码或 JSON 编码？

当您想要将这些输入发送到数据库或 JavaScript 代码块时，惰性方法（仅对所有输入进行编码）会导致问题。所以需要一些更聪明的东西。

这种乏味的方法——在模板上的每条数据周围放置适当的编码函数——是有效的，但开发人员很容易忘记这样做。

是否有一种好的方法可以让开发人员变得轻松，并确保完成正确的编码？我正在听一个 SO 播客，Joel 提出了一个关于使用类型化数据来强制区分 HTML 编码字符串和非编码字符串的想法。也许这可以作为一个起点。

我更多地寻找一种策略，而不是特定语言的实现（尽管我很高兴听到已经存在且有效的实现）。

编辑：以下是我迄今为止找到的一些链接：

• 针对“字符串问题”的基于类型的解决方案
• String::Smart
• 通过模板系统中的自动上下文感知转义来减少 XSS
• JS 中的安全字符串插值

Answer 1

进入数据库的数据可能不应该有任何 HTML、JavaScript 或其他内容的转义。如果您确实包含标记，如果您决定将此数据注入 CSV 文件或 PDF 等，则只需将其删除...

相反，每当您查询“原始”数据时，例如将其从数据库中取出，将当时的数据转义到您将其注入的任何位置； HTML、JavaScript 字符串、服务器端脚本等。