javascript - 跨站攻擊，看了有點蒙，求解

為何這樣的是不安全的

htmlspecialchars處理後">

這樣是安全的

test_form.php"/ 小白怎麼看都覺得只是兩個" /換了個位置

出自http://www.w3school.com.cn/php/php_form_validation.asp

回複內容：

為何這樣的是不安全的

htmlspecialchars處理後">

這樣是安全的

test_form.php"/ 小白怎麼看都覺得只是兩個" /換了個位置

出自http://www.w3school.com.cn/php/php_form_validation.asp

原諒我剛才看錯了，還以為只討論htmlspecialchars。

防範xss首先應從格式規範上面入手。比如你那個頁面表單裡的姓名、電郵、網址，都是有格式的，取得參數值的時候用Regex或者手寫個函數校正一下，能省不少事情。

再比如評論這種沒有格式規範的，或者格式當中允許出現html格式字元的，在輸入或者輸出的地方，用htmlspecialchars處理一下。這個函數的作用就是把一些html格式字元轉化為實體，這樣就會直接顯示出來而不會被解析了。

這裡有篇文章，傳送門：
XSS 與 CSRF 兩種跨站攻擊

可以參考下我以前總結的blog，詳情

htmlspecialchars() 函數把一些預定義的字元轉換為 HTML 實體。

htmlspecialchars()是將一些敏感的字元進行了轉義。避免一些別有用心的使用者利用特殊字元來實現分割原本要執行的語句，產生歧義，或分割為兩條語句，或更多從來實現破壞的目的。

總之，就是永遠不要相信使用者提交的任何資料，一定要在入庫或使用前要進行預先處理。

牛逼嗯解釋。

