确保html和url编码的技术

有没有人实现了一个好的系统来确保输出在有意义的地方正确地进行html编码?甚至可以识别输出何时应该是url编码或json编码的东西?

当您想将这些输入发送到一个数据库或一个javascript代码块时,惰性方法(仅对所有输入进行编码)会导致问题。所以需要更聪明一点的东西。

将适当的编码函数放在模板上的每一块数据上的方法很乏味,但开发人员很容易忘记这样做。

有没有一种好的方法可以让开发人员更容易,并确保完成正确的编码?我正在听一个这样的播客,乔尔抛出了一个关于使用类型化数据来实现HTML编码字符串和非编码字符串之间的差异的想法。也许这是个起点。

我更多的是寻找一种策略,而不是一种特定语言的实现(尽管我很高兴听到已经存在和工作的实现)。

编辑: 以下是我目前发现的一些链接:

• A type-based solution to the "strings problem"
• String::Smart
• Reducing XSS by way of Automatic Context-Aware Escaping in Template Systems
• Secure String Interpolation in JS