我熟悉通常的持久性XSS,在这种情况下,来自用户输入的内容应在通往模板(html实体)的途中进行转义。
最近,我遇到了一个非持久性的问题,用户可以在URL上的脚本中发送该URL,而该URL则显示在页面的某处。就我而言,这是一个链接标记。
因此,我有以下使用当前URL的链接标记。
问题是当某人发送链接时,例如:
www.example.com/?%27;alert...
可能是%27(单引号)和%22(双引号)将关闭标签,因此允许用户输入脚本等。
我知道防止XSS的通常方法是使用html实体。在这种情况下,这不会破坏URL吗?是否可以改用url编码?
顺便说一句,我正在使用PHP,并且希望使用本机函数。
javascript参考方案
来自用户的所有内容都应转义,无论是从URL还是从数据库。在这种情况下,您将只执行URL编码而不是HTML实体。您的模板引擎可能已经足够聪明,可以对进入HTML属性的值执行此操作。
在JavaScript中运行方法C# - javascript
打扰一下,我有这种C#asp方法。受保护的无效btnSave_Click(对象发送者,EventArgs e)有谁知道我该如何发送脚本给您?可以办到?。 javascript大神给出的解决方案 是的,那可以做到。为此,您在.aspx.cs页中创建了函数,然后单击保存按钮上的代码将其复制到函数中,然后执行以下步骤。//Call cs method from J…如何从客户端将数据插入数据库? - javascript
我是Web开发的初学者,可以访问cpanel上托管的网站,并且需要对其进行一些更改。这个网站的后端是由蛋糕PHP制作的,我想使用ajax从客户端将一些数据插入其数据库。问题是我不知道如何获取负责插入数据库的PHP文件的URL。参见下面的代码:var xhttp = newXMLHttpRequest(); xhttp.onreadystatechange= …跨python套接字将JSON传递给Javascript - javascript
我正在使用python套接字与JavaScript客户端进行通信。http://docs.python.org/2/library/socket.html然后遵循JavaScript代码的一部分,ws = new WebSocket("ws://localhost:7777/"); ws.onopen = function(){ aler…提交初始化后删除某些帖子数据 - javascript
在初始化提交之后但在将数据发送到处理页面之前,是否可以过滤$ _POST表单数据?我想象过程的方式:提交->收集$ _POST数据->发送数据我想做的事:提交->收集$ _POST数据->删除某些元素->发送数据这样就不必更改处理页面以过滤掉不希望接收的元素了吗? javascript大神给出的解决方案 当然可以,您可以在JS …写一行到javascript文件 - javascript
我正在使用数组来显示网站中的一些图像:var paintingImages; paintingImages = [ { url: 'images/objects/ron.jpg', alt: 'ron' } ]; 该js代码写在paintings.js中,我的主要js代码写在main.js文件中我已经为艺术家制作了这个…
扫一扫
580
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
