XSS: создание объекта javascript с использованием json_encode в PHP

Question

Это 100% безопасно против XSS?Если нет, не могли бы вы привести пример плохой текстовой строки, показывающий, почему это не так.

Answer 1

Короче, это безопасно.Возможно, XSS потребует выхода из строки JavaScript (") или сценария (</script>).Обе строки правильно экранированы:

"          becomes  \"
</script>  becomes  <\/script>

Это часть о прямом впрыске.Ваше приложение должно учитывать, что некоторые элементы массива могут отсутствовать.Другая возможность состоит в том, что элемент массива не соответствует ожидаемому типу (например, массив вместо строки)

Answer 2

Определенно нет!Брауэр.Это xss.

, вместо этого используйте htmlspecialchars.