只过滤特定字符无法覆盖不同 HTML、属性和脚本上下文。讨论“CSRF 与 XSS 需要在输入和输出两端防护”时,不妨先把常见做法放到一边,从真实任务和限制重新审视。技术方案的价值要在真实流量、异常条件和后续维护中才能被验证。
建议用小范围验证建立方向。起点是:状态修改请求验证 CSRF 令牌。方向稳定后处理:输出按上下文编码。进入落地阶段再完成:限制内联脚本并使用内容安全策略降低注入影响。这样可以避免方案停留在会议结论或静态稿件中。
最后要为结果设置清楚的判断方式:系统是否稳定、安全、可恢复,并且能被当前团队持续维护。性能、错误率、变更失败率、恢复时间、安全事件和维护成本可以提供信号,但数据需要结合实际任务和用户反馈解释。