如何使用HTML / PHP防止XSS？

4回答

拉莫斯之舞

我最喜欢的OWASP引用之一是跨站点脚本解释，因为虽然有大量的XSS攻击向量，但以下几条规则可以大大防御其中的大多数！这是PHP安全备忘单

0

0

0

ABOUTYOU

按优先顺序排列：如果您使用的是模板引擎（例如Twig，Smarty，Blade），请检查它是否提供了上下文相关的转义。我从Twig的经验中知道。{{ var|e('html_attr') }}如果要允许HTML，请使用HTML Purifier。即使您认为您只接受Markdown或ReStructuredText，您仍然希望净化这些标记语言输出的HTML。否则，请使用htmlentities($var, ENT_QUOTES | ENT_HTML5, $charset)并确保文档的其余部分使用与之相同的字符集$charset。在大多数情况下，'UTF-8'是所需的字符集。另外，请确保在输出时退出，而不是在输入时退出。

0

0

0