我正在使用PHP。我试图在我的网页上阻止某些XSS。我正在运行的一项测试在url params中有这个:
www.mypage.com?error=<script>alert(11170579)</script>&foo=one&bar=two
errorr=...参数不是来自表单输入。它刚刚插入到网址中。
如何使用Javascript来转义/解码标签,以便alert()不会执行?我确实找到了几个解析url中param值的例子,但没有提到如何防止或更改代码,因此它没有运行。
感谢您的帮助。
答案 0 :(得分:0)
看看PHP的htmlspecialchars功能。这似乎是你想要的:
<?php
echo htmlspecialchars($_GET['error']);
?>