XSS攻击
来源:互联网 发布:数据挖掘的研究现状 编辑:程序博客网 时间:2024/06/05 06:32
跨站点脚本(Cross-site scripting,XSS)是一种计算机安全漏洞类型,常见于 Web 应用程序。XSS 能够使攻击者向其他用户浏览的网页中输入客户端脚本。
小demo。
假设我们的一张名为 “test_form.php” 的页面中有如下表单:
<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">
这里的$_SERVER["PHP_SELF"]
是一种超全局变量,它返回当前执行脚本的文件名。
因此,$_SERVER["PHP_SELF"]
将表单数据发送到页面本身,而不是跳转到另一张页面。这样,用户就能够在表单页面获得错误提示信息。
现在,如果用户进入的是地址栏中正常的 URL:”http://www.example.com/test_form.php“,上面的代码会转换为:
<form method="post" action="test_form.php">
这是正常的,是我们想要的。不过,如果用户在地址栏中键入了如下 URL:
http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
在这种情况下,上面的代码会转换为:
<form method="post" action="test_form.php"/><script>alert('hacked')</script>
这段代码加入了一段脚本和一个提示命令。并且当此页面加载后,就会执行 JavaScript 代码(用户会看到一个提示框)。造成了xss攻击。
解决方法:使用 htmlspecialchars() 函数能够避免 $_SERVER["PHP_SELF"]
被利用。
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
阅读全文
0 0
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- xss攻击
- XSS攻击
- xss攻击
- open-falcon 后端安装
- 设计模式-访问者模式
- eclipse中修改项目名称后,访问时失败,用原来的项目名可以成功
- xilinx SDK #include "xgpio.h" error
- 总结命令行02:Hive
- XSS攻击
- 【算法】求二叉树的镜像树
- 2017-择善而从
- mysql 5.7会遇到 [Err] 1055
- Android SQLite实战
- redis集群实现(二)集群添加节点
- C++ 判断进程是否存在
- Java数组的长度到底能有多大
- spring boot简介