0

日本語の文字セット euc-jp は xss を作成しますか?

<html> 
<body> 
<script type="text/javascript"> 
    var a ="<?php echo htmlspecialchars($_GET['a']) ?>";
    var b ="<?php echo htmlspecialchars($_GET['b']) ?>";
</script> 
</body> 
</html>

次に、パラメータ a を %f0 として取得します。

<html> 
<body> 
<script type="text/javascript"> 
    var a =";
    var b ="";
</script> 
</body> 
</html>

私はそれから悪い気持ちを持っています

例を挙げていただけると嬉しいです

4

1 に答える 1

0

ユーザー入力をJavascriptに直接貼り付けています。それは XSS インジェクション フィールド デーです。日本語の文字セットはまったく関係ありません。誰でも好きな Javascript を入力できますが、あなたのコードはそれを止めるものではありません。

これは、Javascript ではなく、HTML 文字/エスケープに対してエンコードしているためです。

于 2010-12-17T04:37:11.043 に答える