首页 / PHP / PHP脚本中的XSS漏洞
PHP脚本中的XSS漏洞
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了PHP脚本中的XSS漏洞,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1040字,纯文字阅读大概需要2分钟。
内容图文
我一直在到处搜索以尝试找到解决方案.我最近一直在我们的网站上运行扫描,以查找XSS和SQL注入的任何漏洞.一些项目引起了我的注意.
现在,使用filter_var()验证并清除用户输入的任何数据.
现在,我的问题是XSS和操纵URL的人员.似乎无处不在的简单方法是:
http://www.domainname.com/script.php/">< script>alert('xss');< /script >
然后,这将更改某些$_SERVER变量,并导致我到CSS,链接,图像等的所有相对路径都无效,并且页面无法正确加载.
我清除了脚本中使用的所有变量,但是不确定如何删除URL中不需要的数据.
提前致谢.
加成:
然后,这会在模板文件中导致一个简单的链接:
<a href="anotherpage.php">Link</a>
实际链接到:
“ http://www.domainname.com/script.php/\”\u0026gt;\u0026lt;脚本> alert(‘xss’);< / script> /anotherpage.php
解决方法:
关于XSS的问题:除非您盲目使用相关的$_SERVER变量,否则更改后的URL不会进入您的页面.相对链接似乎包含URL注入脚本的事实是浏览器行为,冒着仅破坏相对链接的风险.由于您不会使用$_SERVER变量盲目操作,因此您不必担心.
关于您的相对路径中断,请注意以下事项:不要使用相对路径.使用至少一个域根路径(以斜杠开头)引用所有资源,并且这种URL损坏不会以您所描述的方式破坏您的网站.
内容总结
以上是互联网集市为您收集整理的PHP脚本中的XSS漏洞全部内容,希望文章能够帮你解决PHP脚本中的XSS漏洞所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。