0
是htmlspecialchars()
是一種防止對HTML
元素屬性發起攻擊的任何風險的萬無一失的方法?htmlspecalchars中的html值屬性是否足以防止xss?
例如,在此輸入元素中是否還會使用htmlspecialchars()
編碼引號確保總體安全性?
從邏輯上看,它會阻止任何字符串脫離value屬性的上下文;還是有更多可以做到的?
<input type="text" value="<?php echo htmlspecialchars($dangerousString, ENT_QUOTES, 'UTF-8'); ?>"
文本輸入字段的值與xss保護有什麼關係? – arkascha 2014-10-17 09:40:51
在表單字段正在用用戶在表單驗證失敗後輸入的數據重新填充的情況下。如果沒有保護,以「>開頭的字符串可能會終止屬性和元素。 – Smithy 2014-10-17 09:51:23
只需在文本輸入框中輸入文本就不可能實現,這需要相應地調用DOM,這意味着攻擊者已經擁有腳本訪問權限,所以它 – arkascha 2014-10-17 09:55:58