PHP_SELF 和 XSS
可能的重复: PHP_SELF 和 XSS 为什么需要过滤 $_SERVER['PHP_SELF'],例如 <form method="post" action="<?php echo $_SERVER['PHP_SELF'] ?>…
PHP_SELF 和 XSS
我发现一篇文章声称 $_SERVER['PHP_SELF'] 容易受到 XSS 攻击。 我不确定我是否理解正确,但我几乎可以肯定这是错误的。 这怎么可能容易受到 XSS 攻击…
基于 DOM 的 XSS 攻击和 InnerHTML
如何保护以下基于 DOM 的 XSS 攻击? 具体来说,是否有一个 protected() 函数可以使以下内容安全? 如果没有,那么还有其他解决方案吗? 例如:给div…
PHP 中 html 属性中的 URL 转义
我目前正在使用一些现有代码,这些代码从请求中取出 URL 并将其输入到锚点的源中。这显然是 XSS 的一个漏洞,并且使用 urlencoding 并不能保持锚点内 …
如何绕过 Safari 的 XSS 审核器在 POST 上渲染远程 Flash 对象?
我有一个表单,允许您嵌入 YouTube 视频,当它发布时,它会呈现 YouTube 视频。问题是 Safari(自 5.0 起)有一个 XSS Auditor,它会抛出以下消息:拒…
转义除
之外的所有 HTML
我正在尝试在页面上显示评论,但遇到了一些问题。 我试图处理本质上有两种不同类型的评论: (1) XSS 类型.. 例如 alert('hi')< /代码>。这可以很…
PHP XSS 清理
问题: 避免 UTF8 编码页面 XSS 的最佳 safe1()、safe2()、safe3() 和 safe4() 函数是什么?它在所有浏览器(特别是 IE6)中也安全吗? <body><…
Django:允许安全的 html 标签
我正在研究各种框架和 CMS 的 XSS,以及它们是否提供了防御方法(而不仅仅是以编程方式避免这种情况)。 我知道在 Django 模板语言中,您可以将变量指…
如何检查我的网站中的 sql 注入和其他 php 漏洞?
如何检查 php 站点中的 sql 注入、XSS 和 CSRF?例如我有一个像 viewentry.php?id=3 这样的页面如何检查此类页面?…
HTMLPurifier 不工作?
我正在对 HTMLPurifier 进行一些测试,以确保一切按预期工作。我正在使用 http://ha.ckers.org/xss.html 中的示例。我认为我编码的所有内容都是“正确…
