如果下列陈述是真实的,
>所有文档都使用HTTP标头Content-Type:text / html;字符集= UTF-8.
>所有HTML属性都用单引号或双引号括起来.
>没有< script>文档中的标签.
是否有任何情况下,htmlspecialchars($input,ENT_QUOTES,’UTF-8′)(转换&“,’,>到相应的命名HTML实体)不足以防止跨站点脚本在Web服务器上生成HTML?
htmlspecialchars()足以防止文档创建时间HTML注入与您所述的限制(即不注入标签内容/未引用属性).
但是还有其他种类的注射可以导致XSS:
There are no <script> tags in the document.
这种情况并不涵盖JS注射的所有情况.例如,您可能有一个事件处理程序属性(需要在HTML转义中进行JS转义):
<div onmouSEOver="alert('<?PHP echo htmlspecialchars($xss) ?>')"> // bad!
或者更糟糕的是,一个javascript:link(需要在转义HTML内的URL转义内部进行JS转义):
<a href="javascript:alert('<?PHP echo htmlspecialchars($xss) ?>')"> // bad!
通常最好避免这些构造,但特别是模板化时.编写<?PHP echo htmlspecialchars(urlencode(json_encode($something)))?>相当乏味
而且注入问题也可能发生在客户端(DOM XSS); htmlspecialchars()不会保护你免受一些JavaScript写入innerHTML(通常是.html()),而不是显式转义.
而且… XSS的原因范围比注射更广泛.其他常见原因有:
>允许用户创建链接,而不检查已知的URL方案(javascript:是最知名的有害方案,但还有更多)>故意允许用户创建标记,直接或通过光标记方案(如bbcode是永远可以利用的)>允许用户上传文件(可以通过各种方式重新解释为HTML或XML)