0
如何防止XSS,但允許使用任何字符?就像我可以在類似<html><body><h1>Test</h1></html>的論壇上發佈HTML代碼一樣,但它不會在瀏覽器中呈現爲html?我怎樣才能做到這一點,所以它不會轉換PHP中的字符?防止XSS,但允許所有字符?
A
回答
0
您可以使用htmlentities或htmlspecialchars作爲字符串安全輸出。 htmlentities更加徹底,因爲它編碼所有實體,而htrmlspecialchars只轉換括號,引號和&符號字符。
例如,它將<更改爲<,它被瀏覽器顯示爲<符號,而不是被解釋爲HTML標記的開始。
2
通過htmlspecialchars()函數傳遞一個字符串:
// Outputs HTML as literal characters
echo htmlspecialchars('<html><body><h1>Test</h1></html>');
0
相關問題
- 1. 允許所有特殊字符並防止SQL注入/ XSS
- 2. 檢測和防止XSS,但允許html格式化
- 3. 防止XSS,但仍允許PHP中的一些HTML
- 4. 防止緩存,但允許腳本
- 5. 允許使用Javascript - 防止XSS? (獨特的場景)
- 6. 如何在防止XSS的同時允許使用<img>?
- 7. Robots.txt - 禁止所有頁面,但允許所有子目錄
- 8. PHP防止xss
- 9. 防止DOM XSS
- 10. Struts XSS預防 - 防止GET XSS
- 11. RewriteRule .htaccess允許所有字符
- 12. 通過剝離所有英文字符來防止XSS安全嗎?
- 13. 防止在按鍵時插入特殊字符,但允許存在
- 14. 防止XSS攻擊
- 15. 防止XSS漏洞
- 16. 用strip_tags()防止XSS?
- 17. 防止XSS攻擊
- 18. 用PHP防止XSS
- 19. jquery ajax防止xss
- 20. preg_match允許所有鍵盤符號的問題,但禁止其他符號
- 21. 允許並防止正則表達式中的某些字符?
- 22. 允許EditText中的特定字符並阻止所有其他字符Android
- 23. 如何防止非英文字符,並允許非字母字符
- 24. 允許IIS上的XSS 7
- 25. EF6 - 註釋允許空字符串,但不允許爲null
- 26. 轉義TEXT的所有輸入類型的所有特殊字符以防止XSS
- 27. PHP網站防止XSS有點太好
- 28. C#UrlEncode但允許某些字符集
- 29. 防止xss攻擊/注入
- 30. 防止Javascript和XSS攻擊
可能重複:// stackoverflow.com/questions/1996122/how-to-prevent-xss-with-html-php) – 2010-06-16 01:05:14