我刚刚了解逃脱的事情,并开始阅读如何使用由于XSS攻击导致的$_SERVER['HTTP_HOST']
风险。
我想出了这个问题,并想知道我的尝试是否能得到一些反馈。
htmlspecialchars(
filter_var($_SERVER[ 'HTTP_HOST' ], FILTER_SANITIZE_URL),
ENT_QUOTES, 'UTF-8'
)
它看起来好吗?
这很大程度上取决于这一个变量是安全的,我只是要求输入。
编辑:
我会用这显示整个网站,包括基本的锚HREF中,表单动作等