我正在尝试测试从PHP安全中学到的信息。 我有一个带有POST表单和单个textarea输入的简单HTML5页面,在其中输入了以下JS代码:
<script>var x = 5; alert(x);</script>
在接收PHP页面中,我只是echo $_POST['varname'];
查看JS代码的执行情况。 当然,这是尝试清理输入的第一步。
...但是它不起作用! 我得到的HTML代码是字面上的
<doctype html>
<html>
<body>
<script>var P = 3; alert(P);</script></body>
</html>
...但是警报没有运行! 更加奇怪的是,当我将代码原样复制到PHP文件中,而无需使用PHP就可以返回此代码时,它不会再次运行,但是如果我更改了变量名或其值,它运行!
Chrome和Safari均会发生这种情况。 我检查了发送和接收的标头,找不到任何可疑的内容。
有谁知道这是什么奇怪的伏都教魔法? 因为我在这里迷失了方向。