之前没有什么PHP的Web应用经验,然后想当然的用bootstrap的<pre>和<code>标签直接输出了表单里取到的值
结果:
1.<script>alert("");</script> 这样的脚本会被直接执行...
2.<span style="color:red">百度</span> 会输出一个红色的百度
刚好应该也有很多朋友看到了,就直接和大家讨论下跨域注入和原样输出的问题吧.
在上面的例子中,如何保证:
1.<script>alert("");</script> 可以被原样输出且不被执行?
2.<span style="color:red">百度</span> 被原样输出且CSS样式不会被渲染呢?
结果:
1.<script>alert("");</script> 这样的脚本会被直接执行...
2.<span style="color:red">百度</span> 会输出一个红色的百度
刚好应该也有很多朋友看到了,就直接和大家讨论下跨域注入和原样输出的问题吧.
在上面的例子中,如何保证:
1.<script>alert("");</script> 可以被原样输出且不被执行?
2.<span style="color:red">百度</span> 被原样输出且CSS样式不会被渲染呢?
Select Language