ci框架2.1.4,字符串经过去xss函数,放入html属性,仍可能出现xss
控制器代码:function xss(){
$this->load->library("security");
$a="\"onclick=\" alert('xss'); return false;\"";
$data['str']= $this->security->xss_clean($a);
$this->load->view('xss',$data);
}
视图代码:
<!doctype html>
<html lang="zh">
<head>
<meta charset="UTF-8">
<title>xss</title>
</head>
<body>
<input value="<?php echo $str ?>">
</body>
</html>
难道必须在视图层使用html转义特殊字符,例如htmlspecialchars ? 这个和xss两回事吧
我感觉xss是指在文字里面嵌入<和>,产生不受控制的js代码
页:
[1]