这对XSS 100%安全吗?
如果没有,你能否提供示例错误的字符串文本,告诉我为什么不是.
<html>
<body>
<script>
<?PHP
$bad = "some bad string. please give example text that makes the below unsafe";
echo "var a = ".json_encode($bad).";";
echo "var b = ".json_encode(array($bad)).";";
?>
</script>
</body>
</html>
Thanks.
解决方法:
简而言之,它是安全的.可能的XSS需要从javascript字符串(“)或脚本(< / script>)中转义.两个字符串都被正确转义:
" becomes \"
</script> becomes <\/script>
这是关于直接注入的部分.您的应用程序应该考虑到某些数组元素可能会丢失.另一种可能性是数组元素不是您期望的类型(例如,数组而不是字符串)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
