나는 모든 입력을 불신하는 것이 웹에서 잘 알려진 우수 사례라고 생각합니다. 문장JSON의 위생 처리가 필요합니까?
"모든 입력은 악합니다."
은 아마도 입력 유효성 검사와 관련하여 가장 많이 인용 된 인용문 일 것입니다. 자, HTML의 경우 DOMPurify과 같은 도구를 사용하여 위생 처리 할 수 있습니다.
내 질문에 Express를 실행하는 Node.js 서버와 JSON을 수신하고 구문 분석하기 위해 body-parser 미들웨어가있는 경우 어떤 위생도 실행해야합니까?
JSON은 데이터, 코드가 없으며 누군가가 잘못된 JSON을 보내면 body-parser (JSON.parse()
를 내부적으로 사용함)가 실패 할 것이므로 내 앱이 유효한 JavaScript 객체를 수신합니다. 내가 평가판을 실행하거나 함수를 호출하지 않는 한, 나는 괜찮을 것이다. 안된다.
내가 누락 된 항목이 있습니까?
그것은 소리 : 예를 들어
, 여기에 이러한 검사의 일부를 적용하는 속성이있는 객체를 기대하고 당신에게 속성 만 당신이 기대했던이 포함 된 필터링 된 결과를 제공하는 구문 분석 함수의 나에게 몸을 파서가 이미 입력을 살균하는 것처럼 보이므로 스스로 그렇게 할 필요는 없습니다. 반면 성능 병목이 아닌 한 입력을 이중으로 소독해도 아무런 해가 없습니다. –