如何從代碼角度分析及簡(jiǎn)單防護(hù)XSS

這篇文章將為大家詳細(xì)講解有關(guān)如何從代碼角度分析及簡(jiǎn)單防護(hù)XSS，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

創(chuàng)新互聯(lián)建站是專業(yè)的鄠邑網(wǎng)站建設(shè)公司，鄠邑接單;提供成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行鄠邑網(wǎng)站開發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來合作!

xss在平時(shí)的測(cè)試中，還是比較重要的，如果存在儲(chǔ)存型xss，就可以做很多事情了，打cookie，添加管理員等等很多操作。

以下所有代碼都是我自己寫的，可能有不美觀，代碼錯(cuò)誤等等問題，希望大家可以指正。

漏洞講解

這是一個(gè)輸入框

在里面寫入經(jīng)典彈窗代碼

點(diǎn)擊提交，再進(jìn)入index.php

就會(huì)出現(xiàn)彈窗代碼

這里，補(bǔ)充一下前面用到的代碼

其原因就在于，沒有對(duì)輸入進(jìn)行過濾，直接存入了數(shù)據(jù)庫(kù)

簡(jiǎn)單修復(fù)

只需要在傳入的時(shí)候?qū)?nèi)容進(jìn)行過濾就可以了

這里我們主要使用的是htmlspecialchars()函數(shù)，這個(gè)函數(shù)可以將其內(nèi)容轉(zhuǎn)化為HTML實(shí)體，就完美的防止了xss漏洞

我們只需要在插入數(shù)據(jù)庫(kù)的時(shí)候?qū)ζ溥M(jìn)行處理就可以了

此時(shí)，看一下效果

這時(shí)，已經(jīng)不彈窗了

此時(shí)的標(biāo)簽已經(jīng)被轉(zhuǎn)義成HTML實(shí)體了

拓展

其實(shí)xss的作用還是特別大的，絕對(duì)不僅限于打cookie等等，之前看到一個(gè)比較有意思的文章，說是騷姿勢(shì)在后臺(tái)一頓亂爬，其實(shí)質(zhì)就是利用xss再結(jié)合一些其他的東西才達(dá)到的，所以說，思路一定要開闊，不要僅限于一個(gè)漏洞本身的那幾個(gè)利用點(diǎn)。

關(guān)于如何從代碼角度分析及簡(jiǎn)單防護(hù)XSS就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

網(wǎng)頁(yè)名稱：如何從代碼角度分析及簡(jiǎn)單防護(hù)XSS
路徑分享：http://m.jiaotiyi.com/article/jdccjg.html