如何更改所有出现的<script> <Script> <scRipT> <sCrIpT> and so ..
至 <script> <Script>
使用 PHP
我也想删除
输入将从所见即所得的编辑器中获取,因此我不能使用 strip_tags 函数。
Edit 2
有没有其他方法可以让用户执行带有某种奇怪字符的 javascript 来
这是我在网上找到的
<scr<!--*-->ipt>
alert('hi')
</script>
但是还是不行,有没有这样的可能?
最佳答案
简单地删除 <script>
来自不可信输入的标签不足以防范 XSS 攻击。例如,<a href="#" onmouseover="alert('pwned!');">
– 我只是把脚本放在你的页面上——没有使用 <script>
标记——然后偷了你的 cookie。糟糕。
在这种情况下,您确实需要使用 a well-tested library that actually parses the HTML and removes the stuff you don't want .
关于php - 删除 <script> 标签 - PHP,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5986820/