url应该怎么转义,转义哪些字符?
比如说有人提交这样的url
www.e</a><script>之类的,
是不是把尖括号转义了就可以?会不会有影响?
具体看看你使用什么语言,一般语言中都带有对url转义的库。例如:
js中encodeURIComponent、decodeURIComponent
python中quote、unquote
C#中UrlEncode的、UrlDecode
看你要在什么地方用,如果html中显示
> => >
< => <
& => &
" => "
' => '“有人提交这样的url” 你是怕被xss或csrf攻击吧?建议使用htmlpurifier, 使用方法很简单,比如这篇文章里面介绍的:http://willko.iteye.com/blog/475493
正文完