防御总的原则:根据实际情况对输入做过滤,对输出做转义
href输出漏洞:输出出现在a标签的href属性里面,可以使用javascript协议来执行js
后端:
$message=htmlspecialchars($_GET['message'],ENT_QUOTES);
$html.="<a href='{$message}'>
可以看到,虽然对htmlspecialchars()函数做了额外的处理,但是,它把输出放在了a标签的href属性里,所以我们可以用下面的payload让这种网页执行我们的代码:
javascript:alert("hello!!!")
结果如图:
从结果中可以看出,上面这种漏洞中我们可以轻易地利用javascript协议来执行任何我们构造的js代码。
防御:
1.a标签的href属性中一般放的是URL(链接),所以我们可以规定, 这里的输入必须以http或者https开头,否则不予以输入。
2.再对这里进行htmlspecialchars(,ENT_QUOTES)函数处理。
js输出漏洞:
输出点是在javaScript,通过用户的输入动态的生成JavaScript代码
javaScript里面是不会对tag和字符实体进行解释的,所以正常的输入得不到正常的输出,这不是我们需要的,所以,如果需要进行处理,就进行JavaScript转义处理,也就是用\ 对特殊字符进行处理。