3
我使用把手,並且如果處理轉義字符(如'
),它將在屏幕上呈現爲'
。把手三重藏匿,以避免逃離html實體
我知道在三重隱藏包裝變量會防止這種情況。
我在一個三重存儲器中處理了以下字符串作爲一個快速測試,它似乎很好「<p>hello<p>
would not wouldn '
噸」這使得我正好想要它的屏幕。
我的問題是,簡單地將所有變量包裝在三重隱藏中是否安全?或者這會有一些我沒有考慮到的無法預料的後果?
感謝
只有當您有預先轉義的變量時纔是安全的。否則包含某種用戶定義數據的變量可能會導致XSS漏洞。 – raidendev
非常感謝 - 許多這方面的工作都是關於Xss攻擊的,所以我很高興接受如果你想讓它變得無聊 – DavidB