我读过很多文章，描述了使用htmlspecialchars和正则表达式、白名单/黑名单等功能以及使用HTML过滤脚本(如HTMLPurifier、HTMLawed等)防止用户提交的HTML内容中的XSS攻击的方法。不幸的是，这些都无法解释像eBay这样的网站如何能够允许如此大量的潜在恶意HTML标签，例如,,以及CSS样式和HTML属性，例如background:url()等。似乎它们允许用户将几乎所有内容提交到他们的元素描述中。我在元素描述中看到了一些最精致的HTML、Javascript和Flash模板。eBay有何不同之处？是否有我遗漏的另一种技术或层，允许他们阻止XSS攻击，同

我读过很多文章，描述了使用htmlspecialchars和正则表达式、白名单/黑名单等功能以及使用HTML过滤脚本(如HTMLPurifier、HTMLawed等)防止用户提交的HTML内容中的XSS攻击的方法。不幸的是，这些都无法解释像eBay这样的网站如何能够允许如此大量的潜在恶意HTML标签，例如,,以及CSS样式和HTML属性，例如background:url()等。似乎它们允许用户将几乎所有内容提交到他们的元素描述中。我在元素描述中看到了一些最精致的HTML、Javascript和Flash模板。eBay有何不同之处？是否有我遗漏的另一种技术或层，允许他们阻止XSS攻击，同

如果下列陈述为真，所有文档都带有HTTPheaderContent-Type:text/html;charset=UTF-8.所有HTML属性都用单引号或双引号括起来。没有文档中的标签。在任何情况下htmlspecialchars($input,ENT_QUOTES,'UTF-8')(将&、"、'、、>转换为相应的命名HTML实体)在Web服务器上生成HTML时不足以防止跨站点脚本攻击？ 最佳答案 htmlspecialchars()足以防止文档创建时HTML注入(inject)与您声明的限制(即不注入(inject)标记内容/未引

如果下列陈述为真，所有文档都带有HTTPheaderContent-Type:text/html;charset=UTF-8.所有HTML属性都用单引号或双引号括起来。没有文档中的标签。在任何情况下htmlspecialchars($input,ENT_QUOTES,'UTF-8')(将&、"、'、、>转换为相应的命名HTML实体)在Web服务器上生成HTML时不足以防止跨站点脚本攻击？ 最佳答案 htmlspecialchars()足以防止文档创建时HTML注入(inject)与您声明的限制(即不注入(inject)标记内容/未引

我正在尝试了解可用且适当的反制措施的最新信息，这些反制措施可以积极降低2011年期间被XSS序列攻击的可能性。我以前所未有的方式进行了谷歌搜索，发现网上有大量库可以帮助解决XSS问题，这些库自豪而大胆地指出“XSS/SQL注入(inject)问题到此为止”。我发现这些图书馆至少有以下两种症状之一:图书馆非常庞大，它可能有自己的心跳。图书馆是海滩男孩在radio里玩耍的时代。PHP已经存在了一段时间，远非体面的strip_tags伴随着诸如filter_var等功能。我远不是这些安全问题的专家，真的不知道它是否能确保将来睡个好觉。我在2011年减少XSS注入(inject)的最佳机会是什

我正在尝试了解可用且适当的反制措施的最新信息，这些反制措施可以积极降低2011年期间被XSS序列攻击的可能性。我以前所未有的方式进行了谷歌搜索，发现网上有大量库可以帮助解决XSS问题，这些库自豪而大胆地指出“XSS/SQL注入(inject)问题到此为止”。我发现这些图书馆至少有以下两种症状之一:图书馆非常庞大，它可能有自己的心跳。图书馆是海滩男孩在radio里玩耍的时代。PHP已经存在了一段时间，远非体面的strip_tags伴随着诸如filter_var等功能。我远不是这些安全问题的专家，真的不知道它是否能确保将来睡个好觉。我在2011年减少XSS注入(inject)的最佳机会是什

Tumblr和其他博客网站允许人们发布来自youtube和所有视频网络的视频的嵌入代码。但是他们如何只过滤flash对象代码并删除任何其他html或脚本？甚至他们都有一个自动代码来通知您这不是有效的视频代码。这是使用REGEX表达式完成的吗？是否有一个PHP类可以做到这一点？谢谢 最佳答案 一般来说，使用正则表达式不是处理HTML的好方法:对于正则表达式，HTML不够规则:标准中允许的变体太多...浏览器甚至接受HTML无效!在PHP中，因为您的问题被标记为php，过滤用户输入的一个很好的解决方案是HTMLPurifier工具。一些

Tumblr和其他博客网站允许人们发布来自youtube和所有视频网络的视频的嵌入代码。但是他们如何只过滤flash对象代码并删除任何其他html或脚本？甚至他们都有一个自动代码来通知您这不是有效的视频代码。这是使用REGEX表达式完成的吗？是否有一个PHP类可以做到这一点？谢谢 最佳答案 一般来说，使用正则表达式不是处理HTML的好方法:对于正则表达式，HTML不够规则:标准中允许的变体太多...浏览器甚至接受HTML无效!在PHP中，因为您的问题被标记为php，过滤用户输入的一个很好的解决方案是HTMLPurifier工具。一些

我已经知道XSS是如何工作的，但是找出所有注入(inject)恶意输入的不同方法并不是一种选择。我看到了几个库，但其中大多数都非常不完整、效率低下或GPL许可(你们什么时候会知道GPL不适合共享小库!使用MIT) 最佳答案 OWASP提供了一个编码库，用于处理各种情况。已过时:http://www.owasp.org/index.php/Category:OWASP_Encoding_Project现在在http://code.google.com/p/reform/OWASP的antiXSS特定库位于:http://code.go

我已经知道XSS是如何工作的，但是找出所有注入(inject)恶意输入的不同方法并不是一种选择。我看到了几个库，但其中大多数都非常不完整、效率低下或GPL许可(你们什么时候会知道GPL不适合共享小库!使用MIT) 最佳答案 OWASP提供了一个编码库，用于处理各种情况。已过时:http://www.owasp.org/index.php/Category:OWASP_Encoding_Project现在在http://code.google.com/p/reform/OWASP的antiXSS特定库位于:http://code.go