ThinkPHP防范XSS跨站攻击
来源:互联网 发布:泰拉瑞亚 修改数据 编辑:程序博客网 时间:2024/04/26 19:42
原理是通过URL传入script标签,ThinkPHP异常错误页面直接输出了script。
原理:
httpx://www.example.com/index.php?m=">< script>alert('xss');< /script>&a=index
防范方法:
找到异常错误页面模板ThinkException.tpl.php(2,x),think_exception.tpl(3.x)有两个地方要修改:
第57行 echo($_SERVER['PHP_SELF'])
改为 echo strip_tags($_SERVER['PHP_SELF'])
第62行 echo $e['message']
改为 echo strip_tags($e['message'])
PS:安全不是框架的责任,大家在开发的时候须自己注意。
原文地址:http://www.hdj.me/thinkphp-deny-xss
0 0
- ThinkPHP防范XSS跨站攻击
- ThinkPHP防范XSS跨站攻击
- XSS跨站脚步攻击及防范
- 跨站脚本攻击XSS攻击与防范指南
- 跨站脚本攻击XSS攻击与防范指南
- 利用PHP编程防范XSS跨站脚本攻击
- 使用AntiSamy防范XSS跨站脚本攻击
- Apache服务器禁用TRACE Method防范XSS跨站攻击
- 使用AntiSamy防范XSS跨站脚本攻击
- 使用AntiSamy防范XSS跨站脚本攻击
- Java 防范XSS攻击
- XSS攻击防范
- XSS攻击的防范
- XSS攻击的防范
- 防范XSS攻击
- xss防范攻击
- XSS攻击和防范
- XSS攻击原理和防范
- 2013 前端技术盘点
- 移动互联网应用推广渠道
- 基于JavaMail和freemarker模板的邮件发送java工具包
- 学习JQuery - 8
- 位置服务及GPS定位的调用
- ThinkPHP防范XSS跨站攻击
- fusioncharts入门系列5之renderer参数
- 关于org.apache.catalina.session.StandardManager doLoad错误的解决
- 关于JavaScript实现图片预加载的改进
- 《软件开发》阅读笔记一
- Linux C编程的一个小例子——实现一个简单的who命令(第一版)
- Spring中ApplicationContext和beanfactory区别
- 安卓是汽车电子的未来吗?
- WEB: JSTL标签+EL表达式