嗯。与其“去除”输入或使用某种正则表达式来删除标签,不如将用户内容转储到 <textarea> 中有多安全?
例如,假设有一个 PHP 页面执行以下操作:
echo '<textarea>';
echo $_GET['whuh_you_say'] ;
echo '</textarea>';
通常这很容易受到 xss 攻击,但在 textarea 中,所有脚本标签只会显示为 <script> 并且不会被执行。
这不安全吗?
【问题讨论】:
</textarea>
<script type="text/javascript">
alert("this safe...");
/* load malicious c0dez! */
</script>
<textarea>
【讨论】:
</text</textarea>area> 会怎样。这仍然需要考虑。
<textarea> 元素不包含 CDATA。
如果您的用户不应该使用任何 HTML 标签(如果您提出这个 textarea 解决方案,就是这种情况),只需通过 htmlspecialchars() 或 htmlentities() 运行它并完成它。安全有保障。
【讨论】:
strip_tags(string);
太棒了!诚实!
【讨论】:
这谈到了在谷歌文档中的 textarea 中发现的 XSS 漏洞(我认为该帖子有点旧 - 所以谷歌现在可能已经保护了它),但它演示了 textarea 如何被用作攻击媒介。
【讨论】:
基础知识已经足够了:
sanitized = str_replace("<", "<", $_GET['whuh_you_say']);
sanitized = str_replace(">", ">", sanitized);
【讨论】: