php htmlspecialchars xss,php – 正确使用时,htmlspecialchars是否足以保护所有XSS？

htmlspecialchars()足以防止文档创建时间HTML注入与您所述的限制(即不注入标签内容/未引用属性).

但是还有其他种类的注射可以导致XSS：

There are no

这种情况并不涵盖JS注射的所有情况.例如,您可能有一个事件处理程序属性(需要在HTML转义中进行JS转义)：

// bad!

或者更糟糕的是,一个javascript：link(需要在转义HTML内的URL转义内部进行JS转义)：

// bad!

通常最好避免这些构造,但特别是模板化时.编写<？php echo htmlspecialchars(urlencode(json_encode($something)))？>相当乏味

而且注入问题也可能发生在客户端(DOM XSS); htmlspecialchars()不会保护你免受一些JavaScript写入innerHTML(通常是.html()),而不是显式转义.

而且… XSS的原因范围比注射更广泛.其他常见原因有：

>允许用户创建链接,而不检查已知的URL方案(javascript：是最知名的有害方案,但还有更多)>故意允许用户创建标记,直接或通过光标记方案(如bbcode是永远可以利用的)>允许用户上传文件(可以通过各种方式重新解释为HTML或XML)