这是一个应该在javascript alert()中输出的字符串示例:
string with "double quote" in it
因为我的用户可以通过PHP编辑这个字符串,所以最好预防XSS攻击。为了在文档的HTML中这样做,我通常会进行以下操作:
<?php echo( htmlspecialchars( $MY_STRING, ENT_QUOTES, 'UTF-8' ) ); ?>
这很好用。
但是现在我注意到如果我在JavaScript警告框中输出相同的字符串:
<script>
alert( "<?php echo( htmlspecialchars( $MY_STRING, ENT_QUOTES, 'UTF-8' ) ); ?>" );
</script>
这种情况下alert的输出是:
string with "double quote" in it
在alert中输出双引号的最佳方式是什么,同时又能防止XSS注入呢?
ENT_NOQUOTES 标志确保所有引号 ' 和 " 不被转义,而 addslashes 则将它们转义以用于 js 的 alert 函数。
$string = 'string<< with "double quote" in it';
echo htmlentities(addslashes($string), ENT_NOQUOTES);
输出:
string<< with \"double quote\" in it
保留引号并转义恶意的html标签
addcslashes而不是addslashes。 - Royalert( "<?php echo( addslashes( $MY_STRING ) ); ?>" );
addslashes()而不是htmlspecialchars()或者两者结合使用。希望能有所帮助。
addslashes() http://php.net/manual/zh/function.addslashes.php
警告框内的所有内容都被视为字符串,不会被执行,因此只需确保它是一个单一字符串,通过转义“
”即可避免XSS攻击。对于警告框,您无需使用htmlspecialchars,只需像这样操作:
<script>
alert( "<?php echo addslashes($MY_STRING); ?>" );
</script>
"); document.location('http://somekinkypornsitewithdonkeys.com'); //。 - CD001addslashes ;) - CD001
addslashes(strip_tags( ... ))应该 可以完成任务... - CD001