我想仔细检查一下并相信这对其他人会有帮助。如果有人在代码中使用 htmlspecialchars($var) 并运行 5.4 之前的 PHP 版本,那么他们就会对 utf-7 XSS 持开放态度。这是既定的。即使标头内容字符集是 utf-8,我是否正确假设该网站仍对 utf-7 XSS 开放,因为 PHP 的服务器内容字符集默认为 iso-8859-1?
编辑:有人问我希望从中获利什么。我希望确保项目不会受到 utf-7 的影响,因为有些程序员似乎不倾向于设置 htmlspecialchars 的第三个参数,即字符集。如果您了解我提到的服务器字符集以及它如何适合 utf-7,那么我真的需要您的帮助。