输入净化是从用户输入数据中移除或中和有害代码和无效字符串的过程。它是 Web 应用开发中最基本的安全措施之一。

在 XSS (跨站脚本) 攻击中，恶意 JavaScript 代码通过用户输入嵌入到网页中。输入净化可以中和 <script> 标签等危险元素。Web 安全基础书籍系统介绍了这些技术。

净化方法包括 HTML 转义 (将特殊字符转换为实体引用)、白名单方式 (只允许许可的字符通过) 和黑名单方式 (移除禁止的模式)。

从字符计数角度看，净化处理可能改变字符串长度。例如 < 转换为 < 时，1 个字符变为 4 个。安全编码实践书籍提供了更多指导。