Кто-нибудь внедрил хорошую систему для обеспечения правильного HTML-кодирования вывода там, где это имеет смысл? Может быть, даже что-то, что распознает, когда вывод должен быть в кодировке URL или JSON?
Ленивый подход — просто кодирование всех входных данных — вызывает проблемы, когда вы хотите отправить эти входные данные в базу данных или в блок кода JavaScript. Так что нужно что-то поумнее.
Утомительный подход — размещение соответствующей функции кодирования вокруг каждой части данных в шаблоне — работает, но разработчики могут легко забыть об этом.
Существует ли хороший подход, облегчающий работу разработчиков и обеспечивающий правильное кодирование? Я слушал один из подкастов SO, и Джоэл поделился идеей об использовании типизированных данных для обеспечения различия между строками в кодировке HTML и строками, не закодированными. Может быть, это может быть отправной точкой.
Я ищу больше стратегию, чем реализацию на конкретном языке (хотя я был бы рад услышать о реализациях, которые уже существуют и работают).
EDIT: Вот несколько ссылок, которые я нашел:
