Javascript 在使用/测试第三方工具时，如何防止通过url执行xss脚本？

我的网站中的用户/测试人员可以使用url执行脚本

因此，工具正在运行，您可以输入

http://yoursite.com?q=nokia

188413544056“>警报（document.cookie）；16cd1a0b206

然后浏览器在url中执行警报，但不使用工具

我正在使用codeigniter/twig。如果Burpuit工具正在运行，twig转义将不起作用

但是，如果正常场景twig输出以下转义值，则url中的脚本不会执行。

search？query=nokia188413544056%22%3E%3Cscript%3Ealert（document.cookie）；%3C/脚本%3E16cd1a0b206

在使用IE的internet选项禁用xss过滤器后，我能够在IE上复制相同的内容

然而，我已经多次验证我们正在对标签进行条带化并过滤所有url参数

有人能告诉我原因是什么，或者这是一个有效的案例

---

注意：如果需要，我可以在每个步骤中提供越来越多的详细信息。

看起来您正在尝试通过GET vars获取值。您可以通过

$this->input->GET（“name”，true）；

@micb尝试XSS筛选，所以我检查了，您是正确的，但在服务器端代码中，它正在尝试使用$\u server获取当前url['REQUEST_URI']，我们正在通过设置模板变量在我们的小树枝模板上打印它。我想知道是否有任何codeigniter方法获取这个值（xss过滤）。