避免網頁被執行 JavaScript 的方式

任何使用者有可能輸入的地方, 都有可能被執行 JavaScript 造成 XSS, 所以必須要做 htmlspecialchars 等動作.

避免網頁被執行 JavaScript 的方式

若是此頁面是允許使用者輸入 HTML 語法, 除了做 Filter 外, 可以再加上 noscript, 如下述範例:

<noscript>
<script>
alert('abc'); // 將不會執行
</script>
</noscript>

注意

  • 不可因為使用 noscript, 就忽略 htmlspecialchars 等類似的動作.
  • 使用者可以幫你輸入 noscript 結尾, 再繼續幫你寫 script. 🙂

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料