php - 删除 <script> 标签 - PHP

标签 php javascript

如何更改所有出现的<script> <Script> <scRipT> <sCrIpT> and so ..&lt;script&gt; &lt;Script&gt;使用 PHP
我也想删除

输入将从所见即所得的编辑器中获取,因此我不能使用 strip_tags 函数。

Edit 2
有没有其他方法可以让用户执行带有某种奇怪字符的 javascript 来
这是我在网上找到的

<scr<!--*-->ipt>
alert('hi')
</script>

但是还是不行,有没有这样的可能?

最佳答案

简单地删除 <script>来自不可信输入的标签不足以防范 XSS 攻击。例如,<a href="#" onmouseover="alert('pwned!');"> – 我只是把脚本放在你的页面上——没有使用 <script>标记——然后偷了你的 cookie。糟糕。

在这种情况下,您确实需要使用 a well-tested library that actually parses the HTML and removes the stuff you don't want .

关于php - 删除 &lt;script&gt; 标签 - PHP,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5986820/

上一篇:php - 你如何处理 Doctrine 2 中的实体关系?

下一篇:php - 交响乐 2 : Doctrine can't create relationship

相关文章:

javascript - Angularjs – 对主细节场景中未保存的更改发出警告

javascript - JS/CSS onmouseover 问题 - 闪烁

javascript - Slick Carousel 根据断点获取当前 slidesToShow

php - 将 SQL_Latin1_General_CP1_CI_AS 编码为 UTF-8

php - 未找到laravel api路由但存在于路由列表中

php - 想删除我的内联 JS 事件句柄但不知道如何

javascript - ng-repeat 不绑定(bind) ng-model 对象数组

PHP MySQL : Query with Less Than AND Greater Than

php - 表中的单引号中的双引号

javascript - 如何在不使用 span 标签的情况下使一小段文本中的前几个词以斜体和小型大写字母显示?

©2024 IT工具网  联系我们