跨站脚本攻击(Cross Site Scripting),攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
模拟过程:(注意Goods控制器save方法中,商品名称字段的长度限制)
在商品新增页面,在商品名称input输入框,输入script标签包含的js代码。
原生php中对xss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串中的特殊字符,比如<> 转化为html实体字符。转化的思想。