REST Web 服务以及 XSS 保护的位置

Question

我想知道我们网站中放置 XSS 防护的最佳位置在哪里。我们的团队分为前端团队和后端团队，由于我们使用不同的平台，因此我们在两个团队之间使用 REST 作为 API。我们有一个字段可以保存应该受到保护的 HTML 子集，我想知道应该在哪一层完成？

网络服务是否应该不允许它进入数据库，还是应该在退出时由消费者进行验证以确保安全？对于不能包含 HTML 的字段，我们只是保存为原始输入，并让前端在呈现之前转义它们。

我的观点是，如果有人尝试使用不允许的标签，网络服务应该响应数据无效（我们一直使用 422 来指示无效更新）。我只是想知道其他人的想法。

Answer 1

这可能不是一个非此即彼的问题。 Web 服务可能可以从许多 UI 调用，并且 UI 会随着时间的推移而变化，因此不应假设所有调用者都是小心/可信的。确实有人可以通过手工编写查询来直接调用您的服务吗？

然而，为了可用性，我们经常选择在 UI 中进行友好的验证和错误报告。我刚刚在一个网站上填写了一份在线表格，如果任何字段包含非字母数字，该表格就会在服务层中崩溃。如果 UI 验证了输入点而不是在 3 页输入后拒绝我的请求，那就太好了。

（更不用说，如果网站要求您提供雇主的姓名，而该名称实际上包含撇号，您似乎有点受阻！）

Answer 2

你应该同时使用两者。典型的模式是尝试在传入的数据中清理可怕的数据（如果对于给定值需要清理，您确实应该拒绝该请求）并在传出时进行编码。

前者的原因是编码有时会丢失。后者的原因是您的数据库不能被信任为数据源（人们可以在不访问您的客户端的情况下访问它，或者您的客户端可能会错过某些内容）。