bob*_*obo 2 php security xss textarea
嗯.而不是"defanging"输入或使用某种正则表达式删除标签,将用户的东西转储到一个<textarea>?
例如,假设有一个PHP页面执行以下操作:
echo '<textarea>';
echo $_GET['whuh_you_say'] ;
echo '</textarea>';
通常这很容易受到xss攻击,但是textarea,所有脚本标签只会显示为,<script>并且不会被执行.
这不安全吗?
Sam*_*son 16
</textarea>
<script type="text/javascript">
alert("this safe...");
/* load malicious c0dez! */
</script>
<textarea>
| 归档时间: |
|
| 查看次数: |
4437 次 |
| 最近记录: |