Я просмотрел несколько постов, но не смог найти решение.
Я хочу добавить htmlspecialchars к переменным $ _SERVER в следующем коде, чтобы избежать XSS.
echo '<script type="text/javascript">window.location = "'.htmlspecialchars($_SERVER['HTTP_HOST']).htmlspecialchars($_SERVER['REQUEST_URI']).'";</script>';
проблема заключается в том, что функция разбивает URL, экранируя кавычки и амперсанд
. В аналогичных темах некоторые пользователи предлагают использовать urlencode вместо htmlspecialchars, но urlencode не предназначен для предотвращения xss в приведенном выше HTML-коде.
Любой совет, пожалуйста?Благодарю.