已解決430363個問題，去搜搜看，總會有你想問的

如何使用 PHP 安全地為 JavaScript 準備字符串？

首頁猿問如何使用 PHP 安全地為...

如何使用 PHP 安全地為 JavaScript 準備字符串？

PHP

慕容森 2023-07-01 16:39:32

考慮以下通過 PHP 呈現的代碼：<script type="application/javascript"> const str = '<?= $str ?>';</script>如何準備$str以便安全地渲染它？PS Safely被定義為“JavaScript 獲得與PHP 中$str相同的 Unicode 內容”。

查看完整描述

1 回答

SMILET

TA貢獻1796條經驗獲得超4個贊

你可以使用PHP 的json_encode：

? const str = <?=json_encode($str)?>;

</script>

這將返回字符串的 JSON 表示形式，這意味著：

它將用雙引號引起來
轉義可能位于字符串本身中的雙引號
轉義 Unicode 字符

僅憑這段代碼（const str = ...），XSS 風險絕對為零。String本身是安全的，可以被JS操作。

然而，如果您像這樣使用該字符串，它可能會成為 XSS 危險：

eval(str);出于明顯的原因
elem.innerHTML = str;例如如果str === '<button onclick="sendCookiesToEvilServer()">Click me</button>', 或'<style>body { display: none; }</style>'
...該列表并不詳盡

如果您想向用戶顯示該字符串，請選擇.innerText，.innerHTML或者查看strip_tags。

如果由于字符串允許包含一些 HTML 而確實需要使用innerHTML，則需要對其進行正確的 XSS 清理。這有點困難，因為這樣，您需要一個解析器來僅允許/刪除一些 HTML 標簽和/或屬性。strip_tags將允許您在一定程度上這樣做（即您只能允許<b>例如，但這不會阻止它<b>具有屬性onclick="..."）。

反對回復 2023-07-01

1 回答
0 關注
115 瀏覽

關注

添加回答

舉報

0/150

提交

取消

亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

熱搜

最近搜索清空

如何使用 PHP 安全地為 JavaScript 準備字符串？

如何使用 PHP 安全地為 JavaScript 準備字符串？

1 回答

添加回答

如何使用 PHP 安全地為 JavaScript 準備字符串？

如何使用 PHP 安全地為 JavaScript 準備字符串？