網(wǎng)友解答: 很遺憾，只能在特定場(chǎng)景下才能繞過(guò)htmlspecialchars函數(shù)。htmlspecialchars() 函數(shù)把預(yù)定義的字符轉(zhuǎn)換為 HTML 實(shí)體，從而使XSS攻擊失效。但

很遺憾，只能在特定場(chǎng)景下才能繞過(guò)htmlspecialchars函數(shù)。

htmlspecialchars() 函數(shù)把預(yù)定義的字符轉(zhuǎn)換為 HTML 實(shí)體，從而使XSS攻擊失效。但是這個(gè)函數(shù)默認(rèn)配置不會(huì)將單引號(hào)( ' )過(guò)濾，只有設(shè)置了：quotestyle 選項(xiàng)為ENT_QUOTES的時(shí)候才會(huì)過(guò)濾掉單引號(hào)，但仍然可以通過(guò)單引號(hào)閉合某一個(gè)事件然后插入惡意的XSS代碼。

如下圖（圖來(lái)源自網(wǎng)絡(luò)，侵刪）