如果要原样输出 script 呢？怎么避免 xss 攻击又能原样输出？

问答 / 2166 / 5 / 创建于 6年前

如果要原样输出script呢？怎么避免xss攻击又能原样输出？测试：

课程读者 6 声望

暂无个人描述~

《L01 基础入门》

我们将带你从零开发一个项目并部署到线上，本课程教授 Web 开发中专业、实用的技能，如 Git 工作流、Laravel Mix 前端工作流等。

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

推荐文章：

更多推荐...

laravel-soar(2.x) - 自动监控输出 SQL 优化建议、辅助 laravel 应用 SQL 优化 34 / 42 |

每天新增8640w数据，怎么存储比较好 21 / 50 |

系统崩溃了，网站响应慢了，你是如何快速定位错误信息的？ 18 / 5 |

在 laravel 中轻松容易的输出完整的 sql 语句 18 / 23 |

面试官：如何在开发阶段就尽量避免写出慢 SQL ？ 29 / 7 |

秒杀系统要如何设计 145 / 36 |

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

最佳答案

想让 JS 有用，就无法避免攻击，防御的原理就是让 JS 不可用，或者完全过滤掉。

如果是为了显示代码，行内代码 <script>alert('111')</sciprt> ，或者代码块：

<script>alert('111')</sciprt>

都可显示。

5年前评论

讨论数量: 5

shizhice

课程读者 17 声望 / PHP工程师 @ 去哪儿网

htmlspecialchars laravel中可使用 e

6年前评论

bestcyt

课程读者 198 声望 / 最底层码农 @ 4399

{!! 看这里 !!}

5年前评论

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

想让 JS 有用，就无法避免攻击，防御的原理就是让 JS 不可用，或者完全过滤掉。

如果是为了显示代码，行内代码 <script>alert('111')</sciprt> ，或者代码块：

<script>alert('111')</sciprt>

都可显示。

5年前评论

任飘渺

课程读者 136 声望 / 实习php程序员 @ null

simditor 会自动把特殊标签进行转义，HTMLPurifier识别不了就可以原样输出了

5年前评论

giao哥

120 声望 / 最强王者 @ 阿里妹妹

3年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助