我应该在将响应数据发送给客户端之前对其进行清理吗?
问题描述 投票:0回答:1
我正在使用 express-xss-sanitizer 包来清理 Node.js Express 应用程序中的传入请求。但是,我仍然看到 Checkmarx 报告的有关潜在 XSS 攻击的问题。我想知道在将响应数据发送给客户端之前是否需要对其进行清理。
我一直认为清理输入数据足以防止 XSS 攻击。然而,Checkmarx 的反复警告让我怀疑自己的理解。有人可以澄清我是否也需要清理响应数据吗?
[![charityApiRouter.get('/charity/getCampaigns', async (req, res) => {
const \[err, responseBody\] = await getCampaignData(req);
if (err) {
res.status(400).send({ success: false, err });
return;
}
res._end = true;
res.jsonp({
success: true,
data: responseBody.data,
});
});][1]][1]
1个回答
0
投票
投票
您无需清理响应,因为响应是由您的应用程序代码使用提供的输入生成的。如果输入经过清理,响应也将是干净的(除非您的业务逻辑本身存在一些问题)。但你应该做的是发送你想要的确切数据。这意味着您应该发送您希望用户使用的特定字段,而不是直接发送数据对象(这很可能是数据库查询结果),例如:
res.json({
data: {
key1: value1,
key2: value2
} })
这确保用户只获得您期望他们获得的数据。如果您正在开发公共 api,这一点尤其重要。这样您也不会向客户端泄露任何不必要的元数据。
最新问题
- 有没有办法在functions.php中取消WordPress插件脚本的排队?
- 如何使我的滚动条在图像上不会切断其圆形容器顶部?
- PyCharm 警告:从协议实现属性时,“字段”类型与“A”不兼容
- Oracle 中的 NHibernate 分页 - 使用 rownum
- 编译器错误 C2065:identifire 未声明
- 从 chrome 导出下载历史记录
- python嵌套dict多键方法建议
- 如何通过 Dockerfile 中的 docker RUN 安装@types/node
- 在 Unity 2d 中使用坐标系和游戏屏幕?
- Flutter 中的按钮会延迟停用?
- 在android studio中重命名包重新创建一个新包
- 具有不同类型操作数的空合并运算符
- Open AI API 密钥丢失
- 通过 forEach(function(track) {track.stop();} 关闭流后重新启动流
- 拒绝加载脚本'https://cdnjs.cloudflare.com/ajax/libs/jquery-csv/0.71/jquery.csv-0.71.min.js'
- 在asp.net mvc中基于两个参数使用Linq-To-Sql进行分页
- 存储过程导致错误
- node https 和 zlib 包:无法解析来自 stackoverflow.com 的 gzip 响应
- 如何使用 terrform google_privileged_access_manager_entitlement 配置角色绑定列表
- dnd-kit 在拖动列表中的项目时显示预览线
© www.soinside.com 2019 - 2024. All rights reserved.