如何使用HTML / PHP防止XSS?如何仅使用HTML和PHP来阻止XSS(跨站点脚本)?我已经看过很多关于这个主题的帖子,但我还没有找到一篇清晰简明地说明如何实际防止XSS的文章。
4 回答
ABOUTYOU
TA贡献1812条经验 获得超5个赞
按优先顺序排列:
如果您使用的是模板引擎(例如Twig,Smarty,Blade),请检查它是否提供了上下文相关的转义。我从Twig的经验中知道。
{{ var|e('html_attr') }}如果要允许HTML,请使用HTML Purifier。即使您认为您只接受Markdown或ReStructuredText,您仍然希望净化这些标记语言输出的HTML。
否则,请使用
htmlentities($var, ENT_QUOTES | ENT_HTML5, $charset)并确保文档的其余部分使用与之相同的字符集$charset。在大多数情况下,'UTF-8'是所需的字符集。
另外,请确保在输出时退出,而不是在输入时退出。
- 4 回答
- 0 关注
- 695 浏览
添加回答
举报
0/150
提交
取消