那些遇到过的问题

XSS:使用PHP的json_encode创建一个javascript对象

use*_*289 5 javascript php xss json

这对XSS 100%安全吗?如果没有,你能否提供示例错误的字符串文本,告诉我为什么不是.

<html>
  <body>
    <script>
      <?php
        $bad = "some bad string.  please give example text that makes the below unsafe";
        echo "var a = ".json_encode($bad).";";
        echo "var b = ".json_encode(array($bad)).";";
      ?>
    </script>
  </body>
</html>

Thanks.
Run Code Online (Sandbox Code Playgroud)

Lek*_*eyn 5

简而言之,它是安全的。可能的 XSS 需要从 javascript 字符串 ( ") 或脚本 ( </script>) 中转义。两个字符串都被正确转义:

"          becomes  \"
</script>  becomes  <\/script>
Run Code Online (Sandbox Code Playgroud)

这是关于直喷的部分。您的应用程序应该考虑到某些数组元素可能会丢失。另一种可能性是数组元素不是您期望的类型(例如,数组而不是字符串)

归档时间:

查看次数:

1591 次

最近记录:

9 年,1 月 前
相关归档
如何在PHP中定义一个空对象 357
Node.js在内部依赖Threads时本身如何更快? 279
window.onload vs. body.onload vs. document.onready 73
使用JavaScript显示Blob 51
AngularJS中的可选依赖项 51
从Laravel存储中下载而不将整个文件加载到内存中 27
HTTPResponse对象 - JSON对象必须是str,而不是'bytes' 26
什么是参数化查询? 24
如何在jsFiddle中使用ajax请求 13
使用JavaScript映射和减少JSON对象 10
难疑归档
如何解决Git中的合并冲突 4600
在'for'循环中访问索引? 3312
#include <filename>和#include"filename"有什么区别? 2204
如何在macOS或OS X上安装pip? 1676
从Git提交中删除文件 1484
将文件从Docker容器复制到主机 1438
Tab键== 4个空格并在Vim中的花括号后自动缩进 1224
如何禁用UITableView选择? 1176
如何通过对象中的属性对List <T>进行排序 1146
获取Oracle中所有表的列表? 1073