防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

首先，sql 注入很好解决。用 prepared statement 就行。而且 prepared statement 比 sql 直接塞值更高效。另外，大部分 ORM 都能有效利用各种机制防止注入。

其次，对于 XSS 。如果你不在后端检查，那么攻击者总能构造出让你能入库并原样返回给前端的内容。除非你前端是在显示内容的最后一步之前进行处理，在提交的时候过滤是无效的。当然，如果你前端在最后一步显示之前处理 XSS 的内容，那么后端可能不需要任何检查，也不需要什么 404 之类的状态吗。结合第一条的解决方案，正常入库出库就行。

但是对于用户体验而言，每次显示前处理 XSS 无疑会占用 CPU 资源。还不如你后端入库进行处理呢。

前后端都得做处理
前端有一个库，刚搜了下，这是官网 https://jsxss.com

@lneoi 谢谢

后端必需处理。
xss 攻击者可不会老老实实在你的输入框里填脚本，构造一个 post 请求就可以绕开在 js 上的处理。

一劳永逸很简单啊。把所有用户输入过滤成 [a-zA-Z0-9]。一次过滤不成过滤 2 次 。

sql 注入就不说了 1l 方案完全没问题

至于 xss php 有内置函数，直接转换所有 html 标签为实体标签，也可以直接去掉全部 html 标签

一句话，php 专为 web 而生 香

前端基本防不住
你要后端处理才行

@MOETAN0 我的后端不是不处理，而是处理比较简单粗暴，在后端，把检测到带有的非法字符的请求返回个 404,403 之类的错误码，把别有用心的构造请求的攻击者挡在外面。

@Leon6868 看清楚啊，我并不是说后端不处理，只是前端已经过滤了，就代表已经是安全的了，没有必要在后端再来一次过滤，而后端处理就比较简单，不用搞过滤等操作，把检测到非法字符的请求返回个如 404 错误或无用的信息给攻击者。

SQL 注入的一劳永逸，就是 不硬拼 SQL，只用 prepared statement，参数和语句分离开

XSS 注入的一劳永逸，就是 不操作 html，只操作 txt
认为 用户输入、后端返回 的数据必须是文本，而不是网页的一部分
也就是不用 JS 的 innerHTML, jQuery 的 html()
只用 JS 的 innerText (IE) 和 textContent (Firefox), jQuery 的 text()，毛的注入都不存在了

其余所有什么 检验、转码 都是辣鸡方法，过时的，误导新人的
我就想用<script>当名字，你就给我显示<script>就完了，不要扯别的，瞎折腾

=。=
https://segmentfault.com/q/1010000004067521
http://www.moonlord.cn

@tctc4869 前端已过滤并不能代表已经是安全的了

用 ORM 的我已经很多年没有考虑过注入问题了。你随便构造数据，我什么都不过滤，能注入算我输。

xss 一劳永逸就是加入 csp 报文头，并且拒绝用户使用 ie

@Leon6868 前端防不住？是你太菜吧，你告诉我什么场景前端防不住？

@gz911122 我知道，我其实想说的是，后端搞过滤是多此一举，后端不要搞什么过滤，只搞检查同步通不通过就行，过滤转码交给前端就行，直接构造请求的攻击者，肯定不会乖乖用浏览器，这些，直接交给后端用拦截器拦下来返回错误码即可，这是我的策略。

@moonlord #14 前段的代码可以随意更改的

@moonlord 你怕不是逗，前端能防个什么？你发个链接来防给我看看

@TangMonk
我不会用 Chrome 控制台吗？需要你说？所以呢？和 XSS 有什么关系？

@fancy111 看 10 楼，你先百度 XSS 再说话好嘛

XSS 的话，一般情况下对所有符号（`<>"&#`）进行 HTML encode 基本就没问题了，比如 PHP 的 htmlspecialchars 函数。
不过总有一些特殊场景，还是需要开发者有足够经验，比如标签内的输出点：`<a href="javascript:\u0061\u006c\u0065\u0072\u0074(1);">click</a>`

当然 CSP 也是好办法，但一样有不少绕过方式。国内外 SRC 上经常有大厂被挖出 XSS，想一劳永逸解决？不存在的