如何防止XSS,但允许使用任何字符?就像我可以在类似<html><body><h1>Test</h1></html>
的论坛上发布HTML代码一样,但它不会在浏览器中呈现为html?我怎样才能做到这一点,所以它不会转换PHP中的字符?防止XSS,但允许所有字符?
0
A
回答
0
您可以使用htmlentities或htmlspecialchars作为字符串安全输出。 htmlentities更加彻底,因为它编码所有实体,而htrmlspecialchars只转换括号,引号和&符号字符。
例如,它将<
更改为<
,它被浏览器显示为<符号,而不是被解释为HTML标记的开始。
2
通过htmlspecialchars()
函数传递一个字符串:
// Outputs HTML as literal characters
echo htmlspecialchars('<html><body><h1>Test</h1></html>');
0
相关问题
- 1. 允许所有特殊字符并防止SQL注入/ XSS
- 2. 检测和防止XSS,但允许html格式化
- 3. 防止XSS,但仍允许PHP中的一些HTML
- 4. 防止缓存,但允许脚本
- 5. 允许使用Javascript - 防止XSS? (独特的场景)
- 6. 如何在防止XSS的同时允许使用<img>?
- 7. Robots.txt - 禁止所有页面,但允许所有子目录
- 8. PHP防止xss
- 9. 防止DOM XSS
- 10. Struts XSS预防 - 防止GET XSS
- 11. RewriteRule .htaccess允许所有字符
- 12. 通过剥离所有英文字符来防止XSS安全吗?
- 13. 防止在按键时插入特殊字符,但允许存在
- 14. 防止XSS攻击
- 15. 防止XSS漏洞
- 16. 用strip_tags()防止XSS?
- 17. 防止XSS攻击
- 18. 用PHP防止XSS
- 19. jquery ajax防止xss
- 20. preg_match允许所有键盘符号的问题,但禁止其他符号
- 21. 允许并防止正则表达式中的某些字符?
- 22. 允许EditText中的特定字符并阻止所有其他字符Android
- 23. 如何防止非英文字符,并允许非字母字符
- 24. 允许IIS上的XSS 7
- 25. EF6 - 注释允许空字符串,但不允许为null
- 26. 转义TEXT的所有输入类型的所有特殊字符以防止XSS
- 27. PHP网站防止XSS有点太好
- 28. C#UrlEncode但允许某些字符集
- 29. 防止xss攻击/注入
- 30. 防止Javascript和XSS攻击
可能重复:// stackoverflow.com/questions/1996122/how-to-prevent-xss-with-html-php) – 2010-06-16 01:05:14