关于对XSS的了解
XSS就是利用浏览器只是单纯的分析html代码而衍生出的一种攻击方式。如果某个网站在注册登录时没有进行数据筛选。那么就会出现黑客利用html语言注册账号,这样在浏览器解析该页时,就会出现错误。
例如
< ?PHP
echo “欢迎您,”.$_GET[‘name’];
?>
稍微解释一下,这段PHP代码的意思是在页面输出字符串“欢迎您,”和URL中name参数的值,比如用浏览器访问这个文件:http://localhost/test23.php?name=lakehu,页面上就会出现“欢迎您,lakehu”字样。其中lakehu是我们通过URL中的参数name传入的,name的值就是用户的输入。
我们知道,浏览器对网页的展现是通过解析HTML代码实现的,如果我们传入的参数含有HTML代码呢?对,浏览器会解析它而不是原封不动的展示——这个就与Web应用程序的设计初衷相反吧。
这样通过参数访问刚才的PHP页面:http://localhost/test23.php?name=lakehu,你将看到HTML标记被浏览器解释了:
变本加厉的,如果传入一段脚本