我想弄清楚什麼最少編碼的數量將是保護一個站點從XSS。允許用戶輸入HTML實體是否危險?
我確信我需要編碼<(&≤)和>(& GT)的標記,「(& QUOT)內部。和'(&#39)中的屬性
我是否還需要編碼&(& amp;)?我在用戶保存數據時遇到了雙重編碼問題(因爲& amp;會變成& amp;)是否存在任何安全漏洞或缺點如果我沒有對&符號進行編碼,我會很開心嗎?這意味着他們可以輸入他們想要的任何HTML實體。
通過HTML實體,我特別指與實體對應的符號 - 前綴序列(如© ™)。
這個問題是語言不可知的(除了HTML部分,當然)。
編輯:heh,堆棧溢出讓我保留我的html編碼實體:)這可能是說。
['htmlentities'](http://us2.php.net/manual/en/function.htmlentities.php) –
如果您不想允許HTML文本在您的文本(http:///php.net/manual/en/function.strip-tags.php) –
重新編輯:SO是一個針對開發者的網站。如果您無法在問題和答案中輸入HTML,則會導致大部分用戶無法使用該網站。請放心,他們正在徹底清除輸入信息 - 雖然這是一個足夠高的配置文件網站,它肯定會吸引大量的黑客攻擊,所以你可以確定他們已經覆蓋了所有的基礎。 – SDC