我正在尝试在我的网站中实施post功能,而我正致力于codeigniter(PHP)。我的问题是当我进入并提交时:
<script>
alert("aaaa");
</script>
JavaScript开始工作,代码在页面加载时执行,那么如何清理用户输入中的脚本标记呢?
我希望所有类型的编码标签在提交时在文本框中显示为简单文本
答案 0 :(得分:2)
忽略这个答案,我只是为了那些被“脚本”标签的原始问题误导而不是“所有HTML”标签的人留在这里。
如果您想让您的用户输入任意HTML代码,但要防止XSS漏洞,那就是HTML Purifier的构建方式。
此 还可以防止iframe,嵌入等。它基于白名单并经过充分测试。
答案 1 :(得分:1)
有关htmlspecialchars http://php.net/manual/en/function.htmlspecialchars.php
的更多信息答案 2 :(得分:0)
如果要在浏览器上输出内容,请使用 htmlentities() 。
echo htmlentities("<script>alert('aaaa');</script>");