Joe*_*oel 2 javascript security code-injection
在javascript include中使用php文件而不是.js文件有什么问题;
<script type='text/javascript' src='myjavascript.php'></script>
显然我会经历并插入注册全局问题等,但是否有其他可能发生的漏洞?考虑到有超过10万人将使用此脚本查看该页面.
不,服务器将解析它与任何其他PHP文件相同.
HTTP请求将检索该文件与任何其他网页完全相同.如果你包含它将<script>通过GET请求检索,但这并不妨碍好奇的用户POST到它.您需要使用与任何其他PHP脚本相同的预防措施 - 不多也不少.
就浏览器而言,它只是javascript - 它不知道它是由PHP生成的,所以没有额外的东西可以考虑到那里.
只要你没有留下将javascript注入文件的方法,你就可以了.确保不要相信输入和转义输出.
| 归档时间: |
|
| 查看次数: |
255 次 |
| 最近记录: |