私は、XSSの保護をどこに置くのが最適なのか、私たちのウェブサイトに疑問を抱いています。 Googleのチームはフロントエンドチームとバックエンドチームに分かれており、異なるプラットフォームを使用しているため、2つのグループのAPIとしてRESTを使用しています。私たちには、保護すべきHTMLのサブセットを保持できるフィールドがあり、これをどのレイヤーで行うべきか疑問に思っていましたか?REST WebサービスとXSS保護をどこに置くか
ウェブサービスによってデータベースに登録することはできませんか、または出庫中に消費者が検証して安全を確保する必要がありますか? HTMLを含めることができないフィールドの場合、我々は生の入力として保存し、プレゼンテーションの前にフロントエンドをエスケープしています。
私の見解では、誰かが許可されていないタグを使用しようとすると、データが無効であると回答する必要があります(私たちは無効な更新を示すために422を使用しています)。私は他の人が何を考えているのだろうと思っています。