输入验证是对用户提交的所有数据进行检查、过滤和清理的安全实践,确保数据符合预期的格式、类型和范围,防止恶意输入导致安全漏洞。输入验证是 Web 应用安全的第一道防线。
输入验证分为客户端验证和服务器端验证。客户端验证 (如 HTML5 表单验证和 JavaScript 检查) 提供即时的用户反馈,但可以被绕过。服务器端验证是安全的关键,必须对所有输入进行严格检查,不能依赖客户端验证。欢迎参阅在 Amazon 搜索安全开发书籍。
在 URL 缩短服务中,输入验证尤为重要。服务需要验证用户提交的 URL 格式是否正确、协议是否为 HTTP/HTTPS、域名是否有效、以及 URL 是否指向已知的恶意网站。自定义别名也需要验证字符集和长度限制。
常见的输入验证策略包括:白名单验证 (只允许已知安全的输入)、正则表达式匹配、类型转换和范围检查、以及输出编码 (在显示用户输入时进行 HTML 转义)。在 Amazon 搜索 OWASP 安全书籍提供了全面的安全开发指南。