@Lilly 说得对。后端方面的不信任程度还不够。
既然这个问题出现了,我决定检查一下它是否也会影响个人资料页面,结果发现并不会。当用户更新个人资料时,我们会正确地清理数值。这使得将相同的清理逻辑复制到注册端点变得相对简单。相关 PR 如下:
我认为从技术上讲并不是。是的,用户可以输入任意值,但在任何地方渲染之前都会应用清理(因此不存在 XSS 漏洞)。而且注册端点已经正确应用了长度限制(因此不存在 DoS 漏洞)。