Javascript 使用PHP回显HTML时防止XSS攻击_Javascript_Php_Xss

Javascript 使用PHP回显HTML时防止XSS攻击

javascript php

Javascript 使用PHP回显HTML时防止XSS攻击,javascript,php,xss,Javascript,Php,Xss,我有一个简单的双模函数，与此相呼应： echo '<button name="wooba" onclick="alert(this.name)">Say name</button>' echo“说出姓名” 这很好，但是如果用户使用Chrome或Firefox编辑HTML，他可以修改代码以输出如下内容： echo '<button name="wooba" onclick="alert('XS

我有一个简单的双模函数，与此相呼应：

echo '<button name="wooba" onclick="alert(this.name)">Say name</button>'

echo“说出姓名”

这很好，但是如果用户使用Chrome或Firefox编辑HTML，他可以修改代码以输出如下内容：

echo '<button name="wooba" onclick="alert('XSS :D')">Say name</button>'

echo“说出姓名”

我已经在与cookies相关的PHPINI上设置了仅http，但是有没有办法阻止用户修改并成功更改站点的javascript

谢谢

一旦文档到达用户的浏览器，他们就可以随心所欲地进行操作。这本身不是XSS。当坏角色可以在其他人的文档中插入脚本时，就存在XSS漏洞。在您的示例中，只要

此.name

不是来自用户输入，您就没有问题。

用户手动编辑已输出到浏览器的代码不是XSS。您对此无能为力，但同样，它也不应该造成任何伤害（XSS方面），因为他们只是在弄乱自己的页面副本，不会影响服务器上的任何内容。你是真的在问用户只是在用开发工具编辑代码，还是在问另一个场景？确切地说，就是用户在我的页面上用他的开发工具编辑代码@阿德森：我想我误解了XSS的基本原则。当一个用户的某些输入设法影响另一个用户的页面行为和/或影响另一个应用程序时，就会发生XSS。谢谢@安德鲁·吉利斯就是这样，没问题。问自己这些问题比假设它是安全的要好。请特别注意这一点。