![[APACHE DOCUMENTATION]](../../images/apache_sub.gif)
我們相信您已經了解跨網站腳本安全問題和它運作背後的概念。如果沒有,請參閱就此問題發布的 CERT Advisory CA-2000-02,以取得詳細資料再繼續閱讀。
這份文件著重於在將資料輸出至用戶端之前,如何安全地編碼資料。執行此一動作的主要方式是透過實體編碼,正如 CERT 諮詢意見中所述,使用 < 等實體。
請注意,一般而言,許多執行實體編碼的函式會採用僅適用於屬性值外部,在一般的區塊層級元素(例如一段文字)中使用的方式。下方參照的許多函式屬於這個類別。這表示它們可能不會編碼雙引號或單引號等字元。如果您沒有在使用來自使用者輸入的屬性值時加上引號,則您需要編碼更多字元。請務必使用引號以避免相關問題。
不幸的是,在屬性值或本文腳本(例如在「