我正在嘗試測試從PHP安全中學到的信息。 我有一個帶有POST表單和單個textarea輸入的簡單HTML5頁面,在其中輸入了以下JS代碼:
<script>var x = 5; alert(x);</script>
在接收PHP頁面中,我只是echo $_POST['varname'];
查看JS代碼的執行情況。 當然,這是嘗試清理輸入的第一步。
...但是它不起作用! 我得到的HTML代碼是字面上的
<doctype html>
<html>
<body>
<script>var P = 3; alert(P);</script></body>
</html>
...但是警報沒有運行! 更加奇怪的是,當我將代碼原樣復制到PHP文件中,而無需使用PHP就可以返回此代碼時,它不會再次運行,但是如果我更改了變量名或其值,它運行!
Chrome和Safari均會發生這種情況。 我檢查了發送和接收的標頭,找不到任何可疑的內容。
有誰知道這是什么奇怪的伏都教魔法? 因為我在這里迷失了方向。