[英]Displaying XSS in the browser
我正在构建一个可检索任何类型的用户输入的应用程序,即使用户放置了xss注入代码也是如此。 除了提供管理员视图以显示用户输入内容的全部内容外,他们还可以输入html代码,bb代码,xss,javascript等(类似于分析目的)。
我认为htmlentities($ data,ENT_QUOTES)足以满足要求,但是在阅读https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet之后,我感到更加困惑。
我不想删除任何标签或脚本,我只想用转义符将其显示在html中。 如果将其放在textarea标签上,是否可以保存? 我的意思是,如果数据包含xss,则在文本中是否将不执行?
<textarea name="comment" rows="30" cols="100"><?php echo htmlentities($data, ENT_QUOTES); ?></textarea>
或有任何安全的方式在浏览器上显示xss,但自身未执行的xss。
对不起,我的英语不好。
谢谢
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.