【发布时间】:2009-09-22 19:32:50
【问题描述】:
我只是在学习如何逃避事情,并开始阅读有关由于 XSS 攻击而使用 $_SERVER['HTTP_HOST'] 的风险。
我想出了这个,想知道是否可以就我的尝试获得一些反馈。
htmlspecialchars(
filter_var( $_SERVER[ 'HTTP_HOST' ], FILTER_SANITIZE_URL ),
ENT_QUOTES, 'UTF-8'
)
看起来还好吗?
很大程度上取决于这个变量是否安全,我只需要请求输入。
编辑:
我将在整个站点中使用它来显示,包括基本的锚href、表单操作等。
【问题讨论】: