安全地原样输出代码和 HTML 内容

2014-04-23 11:49:41 +08:00
 gangsta
之前没有什么PHP的Web应用经验,然后想当然的用bootstrap的<pre>和<code>标签直接输出了表单里取到的值

结果:

1.<script>alert("");</script> 这样的脚本会被直接执行...
2.<span style="color:red">百度</span> 会输出一个红色的百度

刚好应该也有很多朋友看到了,就直接和大家讨论下跨域注入和原样输出的问题吧.

在上面的例子中,如何保证:
1.<script>alert("");</script> 可以被原样输出且不被执行?
2.<span style="color:red">百度</span> 被原样输出且CSS样式不会被渲染呢?
4554 次点击
所在节点    问与答
5 条回复
nervouna
2014-04-23 11:58:50 +08:00
http://cn2.php.net/htmlspecialchars
slixurd
2014-04-23 11:59:57 +08:00
转义以后保存,然后直接读出就好了
superbear
2014-04-23 12:43:04 +08:00
@slixurd 转义后直接读出来,可能会让样式乱掉,比如用户提交</script>****之类的,错误地关闭前面的某个标签,样式就会乱
manhere
2014-04-23 12:56:57 +08:00
@superbear 没有这个顾虑吧?因为连<>这些符号都被转义了,不存在错误闭合
sneezry
2014-04-23 13:08:53 +08:00
http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/109672

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX