我有一个表单,用户可以填写新闻文章。这包含一个标题和正文。 对于每个页面都有一个唯一的标题,我使用用户输入(标题)在<title>
标签都有效:标题标签中的XSS攻击
<title>$userinput</title>
我想知道 - 这可能对用户进行跨站脚本攻击这条路?我应该使用htmlspecialchars
来逃避这个用户输入吗?
这同样适用于<meta>
-tags。我使用的是用户输入的描述:
<meta name="description" content="$userinput" />
可以将用户在<title>
和<meta>
标签都有效执行XSS攻击?
只要您将未转义的HTML写入网页,就有可能存在XSS。 – zneak
可能重复[应该我htmlspecialchar()变量
永远不要相信用户输入! – DonSeba