Comment puis-je empêcher XSS mais autoriser l'utilisation de caractères? Comme je peux poster du code HTML sur un forum comme <html><body><h1>Test</h1></html>
, mais il ne serait pas rendu dans le navigateur en tant que html? Comment puis-je faire cela pour ne pas convertir les caractères en PHP?Prévenir XSS mais autoriser tous les caractères?
0
A
Répondre
0
Vous pouvez sécuriser la sortie d'une chaîne avec htmlentities ou htmlspecialchars. htmlentities est plus complet, car il code toutes les entités, tandis que htrmlspecialchars ne transforme que les caractères bracket, quote et les esperluettes.
Par exemple, il change <
en <
, qui est affiché par le navigateur en tant que symbole < plutôt qu'être interprété comme le début d'une balise HTML.
2
Passez une chaîne par la fonction htmlspecialchars()
:
// Outputs HTML as literal characters
echo htmlspecialchars('<html><body><h1>Test</h1></html>');
0
Questions connexes
- 1. Comment prévenir XSS sur mon site?
- 2. Désinfecter l'entrée utilisateur pour l'affichage et autoriser tous les caractères?
- 3. Autoriser les caractères alphanumériques, la ponctuation et les espaces
- 4. Lancez l'application au démarrage pour tous les utilisateurs, mais également autoriser les paramètres par utilisateur (Windows)
- 5. Prévention du blanc XSS WhiteListing
- 6. Prévenir XSS dans les formulaires HTML à partir du site tiers
- 7. Supprimer tous les caractères après le dernier - mais seulement si après - a quatre caractères
- 8. Autoriser les caractères spéciaux et les espaces dans jquery wordCount
- 9. prévention XSS en PHP
- 10. Comment autoriser les caractères postfixes sur un littéral?
- 11. Autoriser les caractères spéciaux pour le mot de passe
- 12. Supprime 0 et tous les caractères non numériques.
- 13. Excel Remplacer tous les caractères trouvés
- 14. Comment prévenir les surcharges?
- 15. Supprimer tous les caractères spéciaux avec RegExp
- 16. Inverser tous les caractères dans un fichier
- 17. Ma page a été attaquée via xss, mais sur ftp tous les fichiers ne sont pas modifiés?
- 18. Supprimer tous les caractères spéciaux sauf
- 19. textfield.text ne montre pas tous les caractères
- 20. NSString drawInRect chevauche tous les caractères
- 21. Comment supprimer tous les caractères d'une chaîne
- 22. htaccess RewriteRule pour bloquer php/html, autoriser tous les autres ...?
- 23. Comment autoriser les lectures simultanées mais bloquer tous les accès lors d'une écriture sur un objet Java?
- 24. PHP -Multibyte expression régulière pour supprimer tous les caractères, mais ... s'il vous plaît aider
- 25. Protection ModSecurity contre les attaques XSS Type 0 et Impact
- 26. Désinfecter une requête à l'aide de preg_replace mais autoriser certains caractères spéciaux
- 27. Comment autoriser le jeu de caractères utf-8 dans preg_match?
- 28. Ma méthode anti XSS est-elle OK pour autoriser l'utilisateur HTML en PHP?
- 29. Prévenir les robots anti-spam sur le site?
- 30. Comment autoriser l'exécution d'un travail, mais ne pas autoriser l'exécution d'un autre travail?
double possible de [Comment éviter XSS avec HTML/PHP?] (Http: // stackoverflow.com/questions/1996122/how-to-prevent-xss-with-html-php) –