对于数据中的HTML代码在显示时,如果不加h,浏览器会直接对其进行翻译.这样就会出现问题.譬如存入数据库的语句是这样<script>alert "(document.cookie)"</script>
这样就会将所有访问这个页面用户的cookie内容弹出来,利用这个cookie内容,可以访问其他网站..为了避免这种hacker行为.有必要对html进行屏蔽,最简单的方法就是对显示内容调用h方法.就直接屏蔽掉了.
但是这么做有点一棒子打死的感觉.因为好多论坛都支持富文本编辑,还需要HTML代码的作用.所以,在调用内容保存的action中首先就写
这样就会将所有访问这个页面用户的cookie内容弹出来,利用这个cookie内容,可以访问其他网站..为了避免这种hacker行为.有必要对html进行屏蔽,最简单的方法就是对显示内容调用h方法.就直接屏蔽掉了.
但是这么做有点一棒子打死的感觉.因为好多论坛都支持富文本编辑,还需要HTML代码的作用.所以,在调用内容保存的action中首先就写
special characters in HTML, namely &\"<>
CGI::HTML('Usage: foo "bar" <baz>')
# => "Usage: foo "bar" <baz>"
这样可以针对某些HTML字符串进行过滤.不将其保存入数据库!
本文转自 fsjoy1983 51CTO博客,原文链接:http://blog.51cto.com/fsjoy/113465,如需转载请自行联系原作者
![[HTML5]嵌入内容](https://ucc.alicdn.com/pic/developer-ecology/ae9a2c19d09240e697d2378c21c7864c.png?x-oss-process=image/resize,h_160,m_lfit)
