我不得不开发一个以前的开发人员留下的旧网络应用程序。它使用addslashes()来防止HTML属性上的XSS。
这是一个例子:
<?php
// all $_POST vars are put through addslashes()
echo "<input type='hidden' value='" . $_POST['id'] . "' />";
?>
这是否容易受到 XSS 攻击?有没有什么方法可以让 javascript 在 value 属性中运行,就像在 src 属性中一样,例如 src='javascript:alert(99)'。或者可以打破 value 属性然后插入 script 标签吗?
编辑:感谢昆汀,我相信它很脆弱。
addslashes() 可以安全地防止 HTML 属性中的 XSS 吗?
这是非常无效的。
这是否容易受到 XSS 攻击?
Yes.
有没有什么方法可以让 javascript 在 value 属性中运行,就像在 src 属性中一样,例如 src='javascript:alert(99)'。
No
或者可以打破 value 属性然后插入 script 标签吗?
数据只需包含"
并且属性被打破了。
Use htmlspecialchars
当您想要将任意字符串插入属性值时。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)