- UID
- 35
- 積分
- 7120
- 紅利
- 點
- 註冊時間
- 2014-11-8
- 最後登入
- 1970-1-1
- 在線時間
- 小時
- 個人主頁
|
基本上,只要一個指令即可解決多數的XSS
在HTML中, < > " & 等特殊符號是有特殊的用途
HTML中使用這些符號皆可由HTML字符實體來顯示
這些字符通常都是 &name; 的方式顯示,例如& 就是&
假設一段程式碼如下
<? $txt = $_POST['txt']; ?>
<p><?php echo $txt; ?></p>
在輸入的input輸入了</p><script>alert(1)</script></p>
就會成功執行這個script(其實不用輸入這麼多)
如果$txt = $_POST['txt'];改成$txt = htmlspecialchars($_POST['txt']);
就會變成顯示</p><script>alert(1)</script></p>而已 |
|