Я уже обрабатываю санитацию на моей стороне сервера, любой неправильный входной текст, например <script>alert('hi')</script>
, может обрабатываться должным образом. Но поскольку я также огибаю данные с помощью WebSocket, так что эта часть будет нарушена, если пользователь отправитьдезинфицировать ввод пользователя на стороне клиента с помощью javascript
<script>alert('hi')</script>
Я нашел encodeURIComponent, но спутать с encodeURI, который один для обработки XSS в стороне клиента?
encodeURI() не будет кодировать: '~ @ # $ & *() =:? /, + '' encodeURIComponent() не будет кодироваться: '~! *() '' теперь вы решаете! , Но можете ли вы действительно доверять стороне клиента? – Viney
Для XSS Sanitization просмотрите библиотеку [xss-filters] Yahoo (https://github.com/yahoo/xss-filters) или в [DOMPurify] (https://github.com/cure53/DOMPurify). –