ci框架2.1.4，字符串经过去xss函数，放入html属性，仍可能出现xss

方木木 · 发表于 2015-12-4 11:34:08

控制器代码：
function xss(){
      $this->load->library("security");
      $a="\"onclick=\" alert('xss'); return false;\"";
      $data['str']= $this->security->xss_clean($a);
      $this->load->view('xss',$data);
}
视图代码：
<!doctype html>
<html lang="zh">
<head>
<meta charset="UTF-8">
<title>xss</title>
</head>
<body>
<input value="<?php echo $str ?>">
</body>
</html>

难道必须在视图层使用html转义特殊字符，例如htmlspecialchars ?

drpython · 发表于 2015-12-5 21:07:01

这个和xss两回事吧

我感觉xss是指在文字里面嵌入<和>，产生不受控制的js代码

		自动登录	找回密码
密码			入住 CI 中国社区

[版本 2.x] ci框架2.1.4，字符串经过去xss函数，放入html属性，仍可能出现xss