个人中心
gpt4 book ai didi

javascript - 如何防范此类攻击?

转载 作者:行者123 更新时间:2023-12-01 15:05:05 24 4
gpt4 key购买 nike

我最近有人对一个应用程序进行了渗透测试,它发现的一个关键问题是当一些垃圾在这样的 URL 中传递时:

http://example.com/index.php/
%27%3e%3c%69%4d%67%20%53%72%43%3d%78%20%4f%6e%45%72%52%6f%52%3d%61%6c%65%
72%74%28%34%37%34%31%32%29%3e

问题是攻击者只是简单地添加一个斜线,然后添加一些编码的 javascript(带有警报框的图像标签),这会杀死页面。简单有效的攻击。

我如何针对它进行编码?我已经在清理所有预期的用户输入(例如当用户通过 index.php?id=<script>alert(1)</script> 时)。那部分工作正常。

如何防止上述第一段下方引用的意外数据? (另外,这种类型的 XSS 攻击是否有特定的名称?)

最佳答案

小心使用$_SERVER['PHP_SELF]
你应该这样做 htmlspecialchars($_SERVER["PHP_SELF"]);htmlentities($_SERVER["PHP_SELF"]);
这是一个正常的 XSS 攻击。

更多信息:
Info

关于javascript - 如何防范此类攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28610732/

24 4 0
文章推荐: OpenCL get_local_id 速度/寄存器成本
文章推荐: 用于查找格式为 $VAR 或 ${VAR} 的 Unix 环境变量的 Java RegEx 模式
文章推荐: java - 使用 java Rally Rest API 更新 Rally 中的测试集
文章推荐: json - GRAILS:从(嵌套的)JSON 创建域类对象
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com