有人在乌云向我提交了ThinkPHP XSS攻击的bug,抽时间看了一下。 原理是通过URL传入script标签,ThinkPHP异常错误页面直接输出了script。 原理:
防范方法: 找到异常错误页面模板ThinkException.tpl.php(2,x),think_exception.tpl(3.x)有两个地方要修改: 第57行 echo($_SERVER['PHP_SELF']) PS:安全不是框架的责任,大家在开发的时候须自己注意。 原文地址:http://www.hdj.me/thinkphp-deny-xss |
ThinkPHP防范XSS跨站攻击
最新推荐文章于 2024-05-08 19:44:37 发布