AJAXの応答データをサニタイズする必要がありますか？

Question

私はこれをネットで検索しましたが、どこにもありません。

私はそれがAJAX応答を通じて文字列「成功」をエコーし​​ます成功した場合、ポストされたデータを検証し、サニタイズされますprocess.phpにフォームを投稿するAJAXを使用しています。文字列"success"をユーザに出力する前に、それをサニタイズしてエスケープする必要がありますか？ 文字列"成功"がユーザー入力ではなく、正常に処理されたことを示すために私が書いた文字列であることがわかります。

私が作成したAJAXレスポンスデータをサニタイズしてエスケープする必要がありますか？ これは、他のページでは、PHPの処理ページから多くのHTML要素を直接エコーしているため、AJAXレスポンスで取得でき、innerHTMLを使用してフィルタリングせずに直接出力できます。

はあなたに

Answer 1

ありがとうあなたはすでに検証され、POST-EDのデータを消毒する場合は、AJAXの応答を介して第2のステップを実行する必要はありません。私はあまりにも多くのHTML要素をエコーし​​、直接それをまっすぐにエコーします。あなたはAJAXがユーザ入力を介してXSSに対して脆弱ではないことを検証する必要があります。しかし、あなたが自分の文字列にスクリプトを誤って入れてしまうと、それが問題になります。