XSS***與防禦

一、XSS***原理:

XSS***是利用網站的漏洞,例如用戶輸入之類的post數據到服務器,服務器正常保存,輸出到客戶端,利用用戶端和服務端代碼漏洞,沒有檢測機制,輸入惡意代碼給服務器,服務器返回之後,客戶端執行了這個惡意代碼。

簡單的來說就是:想盡一切辦法,讓客戶端執行我的js代碼

舉例:
<form action="" method="get"> 
    <input type="text" name="xss_input"> 
    <input type="submit"> 
</form> 
<?php 
    $xss = $_GET['xss_input'];  
    echo '你輸入的字符爲<br>'.$xss;  
?> 

正常的流程是:用戶輸入,然後php獲取輸入之後,顯示給客戶端。但是如果客戶輸入的是<script>alert('da')</script>,那就是相當於返回來的是<script>alert('da')</script>,然後就會被瀏覽器解析的時候直接執行

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章