EUC-jp 中通过 htmlspecialchars 的 XSS

发布于 2024-10-08 05:22:38 字数 534 浏览 6 评论 0原文

日语字符集 euc-jp 会产生 xss 吗?

<html> 
<body> 
<script type="text/javascript"> 
    var a ="<?php echo htmlspecialchars($_GET['a']) ?>";
    var b ="<?php echo htmlspecialchars($_GET['b']) ?>";
</script> 
</body> 
</html> 

我会将 get 参数 a 作为 %f0 然后:

<html> 
<body> 
<script type="text/javascript"> 
    var a =";
    var b ="";
</script> 
</body> 
</html> 

我有不好的感觉,

我很高兴你给我一些例子

does a japanese charset euc-jp make a xss?

<html> 
<body> 
<script type="text/javascript"> 
    var a ="<?php echo htmlspecialchars($_GET['a']) ?>";
    var b ="<?php echo htmlspecialchars($_GET['b']) ?>";
</script> 
</body> 
</html> 

I would take get parameter a as %f0 then:

<html> 
<body> 
<script type="text/javascript"> 
    var a =";
    var b ="";
</script> 
</body> 
</html> 

I have The bad feeling from that

I'm glad that you give me a some examples

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

尤怨 2024-10-15 05:22:38

您将用户输入直接粘贴到 Javascript 中。那是 XSS 注入的日子。日语字符集与它完全无关。任何人都可以输入他们喜欢的任何 Javascript,并且您的代码无法阻止它。

这是因为您是根据 HTML 字符/转义符对其进行编码...而不是 Javascript 字符/转义符。

You are pasting user input into Javascript directly. That is a XSS-injection field day. Japanese charset has nothing at all to do with it. Anyone could input any Javascript they like, and your code does nothing to stop it.

It is because you are encoding it against HTML character/escapes... not Javascript ones.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文