为了账号安全,请及时绑定邮箱和手机立即绑定

跨站攻击,看了有点蒙,求解

跨站攻击,看了有点蒙,求解

ibeautiful 2018-10-05 22:31:22
<form method="post" action="test_form.php"/><script>alert('hacked')</script>

为何这样的是不安全的

htmlspecialchars处理后
<form method="post" action="test_form.php/"><script>alert('hacked')</script>">

这样是安全的

test_form.php"/ 小白怎么看都觉得只是两个" /换了个位置

出自http://www.w3school.com.cn/php/php_form_validation.asp


查看完整描述

2 回答

?
慕妹3146593

TA贡献1320条经验 获得超9个赞

这里有篇文章,传送门:
XSS 与 CSRF 两种跨站攻击

查看完整回答
反对 回复 2018-10-14
?
胡子哥哥

TA贡献1337条经验 获得超6个赞

原谅我刚才看错了,还以为只讨论htmlspecialchars。

防范xss首先应从格式规范上面入手。比如你那个页面表单里的姓名、电邮、网址,都是有格式的,取得参数值的时候用正则表达式或者手写个函数校验一下,能省不少事情。

再比如评论这种没有格式规范的,或者格式当中允许出现html格式字符的,在输入或者输出的地方,用htmlspecialchars处理一下。这个函数的作用就是把一些html格式字符转化为实体,这样就会直接显示出来而不会被解析了。


查看完整回答
反对 回复 2018-10-14

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信