XSS 보호를 어디에 두어야하는지 궁금합니다. Google 팀은 프런트 엔드 팀과 백 엔드 팀으로 나뉘며 서로 다른 플랫폼을 사용하기 때문에 두 그룹 간의 API로 REST를 사용합니다. 우리는 보호되어야하는 HTML의 하위 집합을 보유 할 수있는 필드를 가지고 있으며이 계층을 어떤 계층에서 수행해야하는지 궁금합니다.REST 웹 서비스 및 XSS 보호를 적용 할 위치
웹 서비스가 데이터베이스에 허용하지 않거나 출입시 유효성을 확인하여 안전을 보장해야합니까? HTML을 포함 할 수없는 필드의 경우, 우리는 그냥 원시 입력으로 저장하고 프론트 엔드를 프레젠테이션 전에 이스케이프 처리합니다.
내 관점은 웹 서비스가 누군가가 허용되지 않는 태그를 사용하려고 시도하는 경우 데이터가 유효하지 않음을 응답해야한다는 것입니다 (유효하지 않은 업데이트를 나타 내기 위해 422를 사용했습니다). 다른 사람들이 생각하는 것만 궁금해합니다.