0

このようなURLがあります

http://www.example.com/?input=userinput

私はxssインジェクションフィルターをしましたが

strip_tags ();

しかし、これを見て、私はこの入力を取り、このようなURLに入れます

<a href ="http://www.example.com/?page=userinput"> </a>

ユーザーがユーザー入力セクションでこのコードを書くことができると想像してください

onMouseOver%3dalert%2839793%29%2f%2f

これにより、 onMouseOver イベントが私の URL に追加されます !!!

4

1 に答える 1

0

OWASP XSS防止チートシートをご覧ください。このすべてを詳細に説明します: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

ここで言及されている特定のトピックに答えるには、URL の一部としてページに出力する前に、入力を URL エンコードする必要があります。HTML 属性内のその他のデータについては、HTML 属性エンコーディングを適用する必要があります。また、onclick などのイベント ハンドラ内にある場合は、javascriot エンコーディングを適用する必要があります。

于 2012-08-07T18:00:20.443 に答える