脚本,从 HTMLpurifier 输出为纯文本
Script, output from HTMLpurifier as plain text
我尝试简写 HTMLpurifier 库,经过多次输入字符串测试后,我将其堆叠在这里,我想知道为什么会这样。具体来说,我有那个功能
function filterxss($var){
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
return $purifier->purify($var);
}
使用该输入字符串
$a = '<</script>script type="text/javascript">alert("test");<</script>/script>';
与那个
echo filterxss($a);
它在浏览器中将其打印为纯文本。回声产生
<script type="text/javascript">alert("test");</script>
为什么脚本没有执行?
请不要投反对票。我求解释
您纯化的元素的源代码是:
<script type="text/javascript">alert("test");</script>
所以它显示为纯文本,而不是脚本
我尝试简写 HTMLpurifier 库,经过多次输入字符串测试后,我将其堆叠在这里,我想知道为什么会这样。具体来说,我有那个功能
function filterxss($var){
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
return $purifier->purify($var);
}
使用该输入字符串
$a = '<</script>script type="text/javascript">alert("test");<</script>/script>';
与那个
echo filterxss($a);
它在浏览器中将其打印为纯文本。回声产生
<script type="text/javascript">alert("test");</script>
为什么脚本没有执行?
请不要投反对票。我求解释
您纯化的元素的源代码是:
<script type="text/javascript">alert("test");</script>
所以它显示为纯文本,而不是脚本