那些遇到过的问题

小编Fa7*_*0nK的帖子

在 HTML 元素中防止 XSS

以下是否足以防止来自 HTML 元素内部的 XSS?

function XSS_encode_html ( $str )
{
    $str = str_replace ( '&', "&", $str );
    $str = str_replace ( '<', "&lt;", $str );
    $str = str_replace ( '>', "&gt;", $str );
    $str = str_replace ( '"', " &quot;", $str );
    $str = str_replace ( '\'', " &#x27;", $str );
    $str = str_replace ( '/', "&#x2F;", $str );

    return $str;
}
Run Code Online (Sandbox Code Playgroud)

正如这里提到的: -
https://www.owasp.org/index.php/Abridged_XSS_Prevention_Cheat_Sheet#RULE_.231_-_HTML_Escape_Before_Inserting_Untrusted_Data_into_HTML_Element_Content

编辑

我没有使用 htmlspecialchars() 因为: -

  1. 它不会改变 / 到 &#x2F;
  2. '(单引号)在设置 ENT_QUOTES 时变为 ' &#039; …

php xss

Fa7*_*0nK
2013 04-21
3
推荐指数
1
解决办法
5101
查看次数

标签 统计

php ×1

xss ×1