我正在使用Codeingiter,我看到xss_clean()正在用一个空格字符替换制表符。这会破坏稍后在<pre><code></code></pre>标记内显示的内容。
<code> HTML标记内的XSS攻击字符串是否有问题?
如果是,有没有办法在这种情况下保留标签?
答案 0 :(得分:3)
是的,<code>元素内的XSS攻击仍然存在问题。要解决这个问题,您应该在<code>块中转义代码。 e.g。
<pre><code><p%gt;this is an example paragraph in code</p></code></pre>
将显示为:
<p>this is an example paragraph in code</p>