thinkphp 3.1模板中的xss漏洞修复

最新推荐文章于 2024-05-21 13:12:55 发布
最新推荐文章于 2024-05-21 13:12:55 发布
阅读量2k 收藏
点赞数
分类专栏: thinkphp 文章标签: thinkphp xss漏洞 模板漏洞修复 tp-xss tp漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljl890705/article/details/60757516
版权

/Tpl/think_exception.tpl模板文件,隐藏有一个xss可攻击漏洞,具体如下:

[ <A HREF="<?php echo(strip_tags($_SERVER['PHP_SELF'],ENT_QUOTES))?>">重试</A> ]

修复此漏洞:

[ <A HREF="<?php echo(strip_tags(htmlspecialchars($_SERVER['PHP_SELF'],ENT_QUOTES)))?>">重试</A> ]
梁吉林
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkPHP 防范XSS攻击
H2912616818的博客
12-17 818
这是一篇关于XSS攻击防范的文章,主要是用来解决ThinkPHP5.1以下的
thinkphp XSS攻击
qq_58467694的博客
01-12 539
1.什么是XSS攻击 跨站脚本攻击(Cross Site Scripting),攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2.转化思想:将输入内容的<>转化为html实体字符。htmlspecialchars 3.过滤思想:将输入内容的script标签js代码过滤掉。 使用步骤: ① 使用composer执行命令,安装 ezyang/htmlpurifier 扩展类库 compo
xss攻击 php,ThinkPHP防止XSS攻击的方法
weixin_32887779的博客
03-10 324
本篇文章介绍了设置TP防止XSS攻击的方法,希望对学习ThinkPHP的朋友有帮助!ThinkPHP防止XSS攻击的方法1 如果您的项目没有富文本编辑器 然后就可以使用全局过滤方法 在application下面的config配置文件 加上 htmlspecialchars// 默认全局过滤方法 用逗号分隔多个'default_filter' => 'htmlspecialchars',如果有...
Thinkphp3全漏洞分析
灰太的表格的博客
01-23 6171
解决方案-thinkphp3.1漏洞-详细白客自学路线
最新发布
2401_84915584的博客
05-21 624
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
thinkphp等框架开发容易忽略的xss攻击
天狗追月的博客
07-14 5090
虽然说现在的web开发框架都是挺成熟的框架,在性能、安全等方面都有比较好的表现,但问题往往出现在业务逻辑上,如上周我再公司发现的一个跨站脚本攻击,(通常公司是这么过滤的,max(0,$_GET[‘a’])、strip_tags($_GET[‘a’]),然而代码量大的话,就容易出现忽略的地方) 如下面一段代码:  (function(){ var a = {:$_GET['b']}; //..
ThinkPHP框架漏洞
谢公子的博客
04-08 3293
ThinkPHP ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,原名为FCS,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和Act...
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
Karka_的博客
03-03 1501
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和间人攻击的内容没有总结,持续更新,欢迎关注。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 2110
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞笔记
程序员六七的博客
05-16 523
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
Thinkphp常见漏洞总结
weixin_46622976的博客
07-12 5400
ThinkPHP漏洞整理
Thinkphp常见漏洞利用
未完成的歌~的博客
04-14 3853
ThinkPHP是一个开源,快速、简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP。使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨版本以及简单易用的PHP框架。
thinkphp3.1.2的通用网站后台
10-28
thinkphp3.1.2的通用网站后台
thinkPHP3.1验证码的简单实现方法
10-22
下面我们将详细介绍如何在thinkPHP3.1创建和使用验证码。 首先,我们需要了解验证码的基本原理。验证码通常由随机生成的一串字符组成,这些字符可能是数字、字母或其他符号的组合。生成的字符串会存储在服务器端...
ThinkPHP3.1核心包+ThinkPHP3.1 完全开发手册
04-17
此外,描述提到的2013年开发的系统视频链接,可以作为实际应用案例,帮助理解ThinkPHP3.1在实际项目的应用。虽然这个版本已较为陈旧,但对于了解PHP框架的发展历程和早期项目实践仍然十分有价值。通过学习这些...
ThinkPHP3.1修改支持php7
12-05
ThinkPHP3.1,可能存在使用了这些已废弃函数的情况,例如`ereg`系列正则函数、`create_function`等,需要替换为`preg`系列和`Closure`。 1. **废弃函数替换**:PHP7移除了`ereg`系列的正则函数,如`ereg()`、...
ThinkPHP3.1基础知识快速入门
10-25
ThinkPHP是一个快速、简单的基于MVC和面向对象的轻量级PHP开发框架,拥有众多的原创功能和特性,为WEB应用开发提供了强有力的...是众多PHP开发人员的首选这篇文章主要介绍了ThinkPHP3.1入门知识,需要的朋友可以参考下
ThinkPHP3.1完全开发手册
09-25
ThinkPHP3.1完全开发手册 版权申明 发布本资料须遵守开放出版许可协议 1.0 或者更新版本。 未经版权所有者明确授权,禁止发行本文档及其被实质上修改的版本。 未经版权所有者事先授权,禁止将此作品及其衍生作品以...
ThinkPHP漏洞合集(专注渗透视角)
LainWith的博客
04-11 7610
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
ThinkPHP3.1 入门与开发指南
"ThinkPHP3.1 完全开发手册" ThinkPHP3.1是一个免费的、面向对象的轻量级PHP开发框架,旨在提供敏捷的WEB应用开发解决方案。该框架遵循Apache2开源协议,强调简洁实用的设计理念,兼顾性能与易用性。自其诞生以来,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值