NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

检查系统输入的有效语法和语义——包括字符集、长度、数值范围和可接受的值——以验证输入是否符合格式和内容的规定定义。例如，如果组织规定在某个应用程序中的某个字段中，1到100之间的数值是唯一可接受的输入，那么“387”、“abc”或“%K%”等输入都是无效输入，系统不会接受。有效输入可能因软件应用程序中的不同字段而有所不同。应用程序通常遵循使用结构化消息的明确定义的协议（即，命令或查询）在软件模块或系统组件之间进行通信。结构化消息可以包含穿插元数据或控制信息的原始或非结构化数据。如果软件应用程序使用攻击者提供的输入来构建结构化消息，而没有正确编码这些消息，那么攻击者可能会插入恶意命令或特殊字符，从而导致数据被解释为控制信息或元数据。因此，接收到损坏输出的模块或组件将执行错误的操作或以错误的方式解释数据。在将输入传递给解释器之前进行预筛选可以防止内容被无意中解释为命令。输入验证可以确保输入的准确性和正确性，并防止跨站脚本攻击及各种注入攻击。