Xss漏洞原理:
Xss又叫跨站脚本攻击。他指的是恶意攻击者往web页面插入恶意html代码,当用户浏览该页面之时,嵌入其中web的html代码会被执行,从而达到恶意的特殊目的
反射型的XSS跨站,不是长期可以加载恶意代码的,并不留存于网站代码中,这种攻击是需要诱导客户去点击特定的URL地址才能触发。
例子:
Xss反射型:
打开dvwa,安全级别调为low
发现这里有个输入框,尝试的输入点什么进去
发现会直接返回“Hello xxx”
测试xss可以直接在有输入框的位置插入代码
发现直接执行弹窗,123,代码执行成功
再来回顾,看一下分析一下代码
array_key_exists()函数:检查某个数组是否存在指定的键名存在则返回true,如果键名不存在则返回false
反射型xss修复建议: