我需要检查用户提交的HTML是否包含任何JavaScript.我正在使用PHP进行验证.
如果您想保护自己免受跨站点脚本(XSS)的攻击,那么您最好使用白名单而不是黑名单.因为在寻找XSS攻击时需要考虑太多方面.
只需列出您要允许的所有HTML标记和属性,然后删除/转义所有其他标记/属性.对于那些可用于XSS攻击的属性,请验证值以仅允许无害值.
京公网安备 11010802040832号 | 京ICP备19059560号-6 