如果要原样输出 script 呢？怎么避免 xss 攻击又能原样输出？

问答 / 0 / 5 / 创建于 7年前

如果要原样输出script呢？怎么避免xss攻击又能原样输出？测试：

课程读者 6 声望

暂无个人描述~

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

推荐文章：

更多推荐...

PHP 中一次反射需要多长时间 28 / 9 |

要找工作的PHP开发看一下 11 / 45 |

dcat-admin多应用后台高效实现免密登陆其它后台 24 / 12 |

Laravel 实用小技巧——日志告警功能应该怎么做？ 17 / 4 |

探讨一下大数据量的导出Excel 方案 11 / 57 |

Laravel 实用小技巧 —— SSL 证书快过期了却不知道谁在用怎么办？ 17 / 8 |

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

最佳答案

想让 JS 有用，就无法避免攻击，防御的原理就是让 JS 不可用，或者完全过滤掉。

如果是为了显示代码，行内代码 <script>alert('111')</sciprt> ，或者代码块：

<script>alert('111')</sciprt>

都可显示。

6年前评论

讨论数量: 5

shizhice

课程读者 17 声望 / PHP工程师 @ 去哪儿网

htmlspecialchars laravel中可使用 e

7年前评论

bestcyt

课程读者 198 声望 / 最底层码农 @ 4399

{!! 看这里 !!}

6年前评论

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

想让 JS 有用，就无法避免攻击，防御的原理就是让 JS 不可用，或者完全过滤掉。

如果是为了显示代码，行内代码 <script>alert('111')</sciprt> ，或者代码块：

<script>alert('111')</sciprt>

都可显示。

6年前评论

任飘渺

课程读者 137 声望 / 实习php程序员 @ null

simditor 会自动把特殊标签进行转义，HTMLPurifier识别不了就可以原样输出了

6年前评论

giao哥

121 声望 / 最强王者 @ 阿里妹妹

4年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助