Я думаю, что это хорошо известная лучшая практика в Интернете, чтобы не доверять любой информации. Приговор
"Весь вклад злой".
это, вероятно, самая цитируемая цитата в отношении проверки ввода. Теперь для HTML вы можете использовать такие инструменты, как DOMPurify, чтобы очистить его.
У меня вопрос: если у меня есть сервер Node.js, на котором выполняется Express и промежуточное программное обеспечение для анализатора тела для получения и анализа JSON, нужно ли мне также выполнять какие-либо операции очистки?
Мои (возможно, наивные?) Мысли по этому поводу состоят в том, что JSON - это только данные, а не код, и если кто-то отправит недопустимый JSON, body-parser (который использует JSON.parse()
внутреннего использования) все равно потерпит неудачу, поэтому я знаю, что мое приложение будет получить действительный объект JavaScript. Пока я не запускаю eval и не вызываю функцию, у меня все будет хорошо, не так ли?
Я что-то пропустил?