防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@Leon6868 #97
看情况么
const tag = document.createElement("script");
tag.innerText = `console.log('v2')`;
document.body.appendChild(tag);
杠一下。 -_-

@u823tg 杠精说的就是你吧 =。=

@u823tg 我说的是 sql 注入。。innerText 确实可以避免的，#97 已经承认了。我的意思和#98 的差不多，你可以参考一下

还是从后端考虑吧，

@tctc4869 #98 二次注入你怎么办， 用户的输入本来就不可信。 严格来说存到数据库的数据得经过过滤，脏数据不可否认的有危险性。

前端过滤怎么行，人家直接走接口，又不一定走前端 js

一劳永逸是不是不做程序员？

`"topic_id": 665687, "content": "<img onerror=\"alert(111)\"/>", "content_rendered": "&lt;img onerror=\"alert(111)\"/&gt;",`
这叫没转码？到底是谁瞎了
"content_rendered" ，顾名思义，要渲染的内容，明明是转过的。

前端防用户手动输入都是做做样子，会 js 的人直接控制台里调接口了，前端还过滤个毛线，关键还是后端

前端过滤只是用户友好，后端过滤才是安全啊

各位，我相信题主的意思是：
1. 前端是面向正常用户的，各种不合法输入都应该在检查后展示给用户原因。
2. 而后端只需要粗暴的返回数据是否合法，因为如果数据是前端来的，那么必然已经经过前端的校验了。如果不是前端来的非法请求，那我也没必要告诉你为什么你的请求出问题了。

这事情的本质是：后端只管安全不管用户体验，前端完全负责用户体验，是否有可行性
至少在注入这件事上，我想说没有可行性，用 SQL 参数带来的体验前端不能完全 cover 住
当然在另外一些事上是可能有可行性的，要就事论事

验证和过滤从来都不只是前端的事情，哪来一劳永逸，多关注用户体验，其他交给后端。

@zhuisui #111 不行的， 有些数据我传进数据库是看似正常的， 程序二次从数据库取出来进行处理会造成注入。

@fancy111 有意思，不用后端，不用过滤，来吧

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>xss me</title>
<script>
window.onload = function () {
const url = new URL(location.href)
const input = url.searchParams.get('input');
document.getElementById('output').innerText = input;
document.querySelector('input').value = input;
}
</script>
</head>
<body>
<form>
<label>
<input type="text" name="input"/>
</label>
<button type="submit">submit</button>
</form>
<pre id="output"></pre>
</body>
</html>

SQL 注入，prepared statement 一劳永逸，过滤是瞎鸡巴搞。

XSS 注入，后端拼 html 的由后端转义，前后端分离的，前端负责搞定。

起作用的还是后端过滤吧

@aguesuka https://s1.ax1x.com/2020/04/24/JDhdJg.png

@Deffi
@zhw2590582
@taaaang

前端过滤，是因为前端是面向正常的客户端，而构造请求直接调后端接口不算正常的客户端，后端主要负责安全，用户体验交给前端。

后端既然检测的非法数据，就代表请求的客户端是不正常的客户端，没有经过前端验证过滤的客户端，就没有必要从数据库拿数据了，更没有必要过滤数据。都已经是非正常用户了，没必要告诉客户端是不是请求出问题了。

@cumt21g 后端过滤是多此一举，浪费精力，后端负责通不通过就行，难道后端还要告诉非法请求的客户端，你的请求数据有问题么？正常的客户端就交给前端去负责。至于非法客户端。