如果要原样输出 script 呢？怎么避免 xss 攻击又能原样输出？

问答 / 2166 / 5 / 创建于 6年前

如果要原样输出script呢？怎么避免xss攻击又能原样输出？测试：

课程读者 6 声望

暂无个人描述~

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

《L03 构架 API 服务器》

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

推荐文章：

更多推荐...

laravel-soar(2.x) - 自动监控输出 SQL 优化建议、辅助 laravel 应用 SQL 优化 34 / 42 |

每天新增8640w数据，怎么存储比较好 21 / 50 |

系统崩溃了，网站响应慢了，你是如何快速定位错误信息的？ 18 / 5 |

在 laravel 中轻松容易的输出完整的 sql 语句 18 / 23 |

面试官：如何在开发阶段就尽量避免写出慢 SQL ？ 29 / 7 |

秒杀系统要如何设计 145 / 36 |

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

最佳答案

想让 JS 有用，就无法避免攻击，防御的原理就是让 JS 不可用，或者完全过滤掉。

如果是为了显示代码，行内代码 <script>alert('111')</sciprt> ，或者代码块：

<script>alert('111')</sciprt>

都可显示。

5年前评论

讨论数量: 5

shizhice

课程读者 17 声望 / PHP工程师 @ 去哪儿网

htmlspecialchars laravel中可使用 e

6年前评论

bestcyt

课程读者 198 声望 / 最底层码农 @ 4399

{!! 看这里 !!}

5年前评论

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

想让 JS 有用，就无法避免攻击，防御的原理就是让 JS 不可用，或者完全过滤掉。

如果是为了显示代码，行内代码 <script>alert('111')</sciprt> ，或者代码块：

<script>alert('111')</sciprt>

都可显示。

5年前评论

任飘渺

课程读者 136 声望 / 实习php程序员 @ null

simditor 会自动把特殊标签进行转义，HTMLPurifier识别不了就可以原样输出了

5年前评论

giao哥

120 声望 / 最强王者 @ 阿里妹妹

3年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助