PHP 安全测试为 GetHTMLValueString 提供了严重的 Reflected XSS 警告,我该如何解决?
Posted
技术标签:
【中文标题】PHP 安全测试为 GetHTMLValueString 提供了严重的 Reflected XSS 警告,我该如何解决?【英文标题】:PHP Security test gives me critical Reflected XSS warning for GetHTMLValueString, how can i fix? 【发布时间】:2021-12-24 18:13:58 【问题描述】:【问题讨论】:
【参考方案1】:尝试将值转换为html Entities
<?php $depo_gin = '<a>1</a>'; ?>
<td>...</td><td><?php echo htmlentities( GetHTMLValueString($depo_gin) ); ?></td>
或
<?php $depo_gin = '<a>1</a>'; ?>
<td>...</td><td><?php echo htmlspecialchars( GetHTMLValueString($depo_gin) ); ?></td>
结果为 HTML:
<td>...</td><td><a>1</a></td>
文档:
https://www.php.net/manual/en/function.htmlentities.php
https://www.php.net/manual/en/function.htmlspecialchars.php
如果您只需要 html 内容中的值
尝试使用函数strip_tags
<?php
var_dump(
strip_tags('<a>1</a>')
); # result: 1
https://www.php.net/manual/en/function.strip-tags
【讨论】:
以上是关于PHP 安全测试为 GetHTMLValueString 提供了严重的 Reflected XSS 警告,我该如何解决?的主要内容,如果未能解决你的问题,请参考以下文章