可能重复:
What are the best practices for avoiding xss attacks in a PHP site
Examples of XSS that I can use to test my page input?
php中客户端xss攻击的示例/类型是什么?如何防止它们?
答案 0 :(得分:0)
纯文本为HTML。 当您忘记使用htmlspecialchars转义纯文本时。 无需预防:只需在模板中使用PHP时转义变量即可。或者使用smarty / twig / etc.
HTML as HTML:当您允许用户创建HTML(fckeditor / tinymce / plain HTML / etc)时。 使用HTML清理程序。
BB代码转换为HTML。 不要使用自己的基于正则表达式的解析器,只使用FSM解析器。