这是一个创建于 3675 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前没有什么PHP的Web应用经验,然后想当然的用bootstrap的<pre>和<code>标签直接输出了表单里取到的值
结果:
1.<script>alert("");</script> 这样的脚本会被直接执行...
2.<span style="color:red">百度</span> 会输出一个红色的百度
刚好应该也有很多朋友看到了,就直接和大家讨论下跨域注入和原样输出的问题吧.
在上面的例子中,如何保证:
1.<script>alert("");</script> 可以被原样输出且不被执行?
2.<span style="color:red">百度</span> 被原样输出且CSS样式不会被渲染呢?
结果:
1.<script>alert("");</script> 这样的脚本会被直接执行...
2.<span style="color:red">百度</span> 会输出一个红色的百度
刚好应该也有很多朋友看到了,就直接和大家讨论下跨域注入和原样输出的问题吧.
在上面的例子中,如何保证:
1.<script>alert("");</script> 可以被原样输出且不被执行?
2.<span style="color:red">百度</span> 被原样输出且CSS样式不会被渲染呢?
 |
1
nervouna 2014-04-23 11:58:50 +08:00
|
 |
2
slixurd 2014-04-23 11:59:57 +08:00
转义以后保存,然后直接读出就好了
|
 |
3
superbear 2014-04-23 12:43:04 +08:00
@slixurd 转义后直接读出来,可能会让样式乱掉,比如用户提交</script>****之类的,错误地关闭前面的某个标签,样式就会乱
|
 |
5
sneezry 2014-04-23 13:08:53 +08:00
|
Select Language