В веб-приложениях для того, чтобы предотвратить HTML и сценарий инъекции, я должен избежать ввод данных пользователем:Где предотвратить инъекцию HTML и скриптов?
- На стороне клиента перед отправкой на сервер.
- На сервере перед сохранением его в базе данных (на каком слое - бизнес, данные, веб-интерфейс?).
- На сервере перед отправкой обратно клиенту.
- На клиенте перед рендерингом.
- Все или некоторые из перечисленных выше.
?
Проверка на стороне сервера считается более безопасной, чем клиентская. Используйте проверку на стороне клиента только для обеспечения хорошего пользовательского интерфейса и небольших проверок безопасности. –