1
我正在这样做。它似乎工作,但它是最好的方式?像人们仍然可以发布XSS代码或应该抓住这一切吗?这是一个很好的方式来删除脚本,Onmouseover,onerror和onload用PHP
$pattern[0] = '/script/';
$pattern[1] = '/onmouseover/';
$pattern[2] = '/onerror/';
$pattern[3] = '/onload/';
$replacement[0] = 'scr<b></b>ipt';
$replacement[1] = 'onmouse<b></b>over';
$replacement[2] = 'on<b></b>error';
$replacement[2] = 'on<b></b>load';
唯一的问题是,这是一个很重的wheigt库,如果你想配置它只允许在问题插入像JavaScript一样需要花费数小时..... – 2016-06-26 15:34:16
当然 - 但它可以说仍然比在大多数情况下构建自己的解决方案(也就是说,如果你发现了一些更容易使用的东西,绝对在这里发布一个答案!) – 2016-06-26 15:39:00