将用户内容输出到JavaScript变量(避免使用XSS)

时间:2014-06-06 23:16:34

标签: javascript php xss

我的大脑今天早上没有工作......

我需要做以下事情:

<?php
$userContentFromDatabase = 'Some string that may contain "double  quotes" ';
?>

<script type="text/javascript">
var userContent = "<?=  $userContentFromDatabase ?>";
</script>

并避免双引号干扰JavaScript代码?

2 个答案:

答案 0 :(得分:1)

在PHP端使用json_encode()并返回一个对象,因为这将处理所有斜杠以及那些可能会破坏您的代码的内容。

如果您认为唯一的问题区域是双引号,则只需使用str_replace()添加斜杠。

答案 1 :(得分:0)

如果要在javascript变量中安全地输出用户数据,则需要更多转义。见规则3 https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#RULE_.233_-_JavaScript_Escape_Before_Inserting_Untrusted_Data_into_JavaScript_Data_Values

相关问题
最新问题