例如,html 是从外部服务器传给我们的——我们需要将其与 js 代码屏蔽,以便我们可以将其以相同的形式插入到站点中。如何在php中正确执行?有内置功能吗?<scrip></script>HTML元素中除了标签,标签onload="",可以嵌入onerror="",还有什么可以作为xss攻击,如何逃逸呢?
RError.com
在这里,有必要从相反的方向走。您需要创建自己的标签和属性白名单,删除所有多余的内容。
我在不同的 CMS 中看到了不同的实现,每个人都有自己的。
https://github.com/AlexanderGrom/php-qevix这里有类似的东西。指定绝对安全且不用担心的标签和属性。
如果你保留一个危险标签和属性的列表,那么就有可能忘记一些东西,这将是一个致命的错误。可能会出现新标签和危险属性。
在白名单的情况下,一切都是安全的。如果一些安全标签没有立即添加,它们总是可以在不影响的情况下添加。