使用 PHP 回显 HTML 时防止 XSS 攻击

Prevent XSS attacks when echoing HTML using PHP

我有一个简单的 bimple 函数与此相呼应:

echo '<button name="wooba" onclick="alert(this.name)">Say name</button>'

这工作正常,但如果用户使用 Chrome 或 Firefox 编辑 HTML,他可以修改代码以输出如下内容:

echo '<button name="wooba" onclick="alert('XSS :D')">Say name</button>'

我已经在与 cookie 相关的 php ini 上设置了 only http,但是有什么方法可以防止用户修改并成功更改网站的 javascript?

谢谢!

一旦文档到达用户的浏览器,他们就可以随心所欲地进行操作了。这本身不是 XSS。当坏人可以在其他人的文档中注入脚本时,就存在 XSS 攻击。在您的示例中,只要 this.name 不是来自用户输入,您就没有问题。