Я использую nodejs в качестве своего бэкэнда и храню свои данные в MongoDB. Мне интересно, как я должен проверять входящие данные перед сохранением в базе данных.
Мне нужно проверить как чистые строки, например:
"some xss test"
и объект строк:
{
"name": "xss name",
"age": 25
}
Какую библиотеку я должен использовать для своей задачи?
Общепринятой практикой является проверка данных при их выводе, а не при сохранении. При этом можно не волноваться, а вдруг XSS-данные попадут в БД по другим маршрутам?
Но ваш вопрос остается в силе, как программисту проверить, содержит ли что-то XSS или нет. Для выполнения этой работы существует модуль проверки:
var validator = require('validator');
var escaped_string = validator.escape(someString);
Чтобы проверить объект строк, вам, возможно, придется вручную пройтись по списку.
Если вы действительно заинтересованы в выводе html-кода, но беспокоитесь о XSS, вам нужно использовать более сложный валидатор XSS, который постоянно обновляется. Примером может служить Google Caja.
