摘要:
XSS防御的总体思路是: 对输入进行过滤,特殊符号必须过滤掉,单引号、双引号、尖括号之类的, 对输出进行编码过滤: 根据业务需求进行过滤, 比如输出点要求输入手机号,则只允许输入手机号格式的数字。 转义: 所有输出到前端的数据都根据输出点进行转义, 比如输出到html中进行html实体转义,输入到S 阅读全文
posted @ 2024-03-04 22:06
LaiBuNiZi
阅读(29)
评论(0)
推荐(0)
摘要:
html实体编码 JS编码 1.htmlspecialchars函数 把一些预定义的字符转换为html实体 预定义的字符 &->& "->" '->' <->< >->gt; <script> --> <<script> 默认绕过 绕过方式: payload 阅读全文
posted @ 2024-03-04 21:26
LaiBuNiZi
阅读(715)
评论(0)
推荐(0)
浙公网安备 33010602011771号