原始 HTML 是否应该在输出或输入时进行清理？

Question

CakePHP 的 Data Santiziation 页面指出，应该将用户输入的可能原始 HTML 存储在一个人的数据库并在输出时进行清理：

为了针对 XSS 进行清理，通常最好将原始 HTML 保存在数据库中而不进行修改，并在输出/显示时进行清理。

为什么最好将（有潜在危险的）HTML 存储在数据库中并仅在输出时对其进行清理？在产生相同功能的同时，首先进行清理是否会导致存储空间更小？

我能看到像这样存储原始 HTML 的唯一原因是，如果某些页面要清理输出，而某些页面要么不清理输出，要么比其他页面或多或少严格。

Answer 1

您希望手动将原始数据保持在原始状态，以防止意外删除积极的清理脚本。

使用 CakePHP，您应该在视图中回显用户在系统中输入的所有内容上使用 h() 快捷方式。

如果您使用 Sanitize 类，我建议您创建一个方法来清理记录，并将对此方法的调用放入模型的 afterFind() 回调中，并将其应用于返回的每个记录。如果不需要，您仍然可以根据需要对数据调用清理方法。

Answer 2

我想到的一个重要原因是数据的错误污染。如果您对传入的 HTML 应用过于激进的过滤器，它将被永久损坏。您必须再次输入所有内容才能兑换。如果您对输出进行清理，您始终拥有“原始”，并且可以根据需要调整过滤。