我一直在到处搜索以尝试找到解决方案.我最近一直在我们的网站上运行扫描,以查找XSS和sql注入的任何漏洞.一些项目引起了我的注意.
现在,使用filter_var()验证并清除用户输入的任何数据.
现在,我的问题是XSS和操纵URL的人员.似乎无处不在的简单方法是:
http://www.domainname.com/script.PHP/">< script>alert('xss');< /script >
然后,这将更改某些$_SERVER变量,并导致我到CSS,链接,图像等的所有相对路径都无效,并且页面无法正确加载.
我清除了脚本中使用的所有变量,但是不确定如何删除URL中不需要的数据.
提前致谢.
<a href="anotherpage.PHP">Link</a>
实际链接到:
“ http://www.domainname.com/script.PHP/\”\u0026gt;\u0026lt;脚本> alert(‘xss’);< / script> /anotherpage.PHP
解决方法:
关于XSS的问题:除非您盲目使用相关的$_SERVER变量,否则更改后的URL不会进入您的页面.相对链接似乎包含URL注入脚本的事实是浏览器行为,冒着仅破坏相对链接的风险.由于您不会使用$_SERVER变量盲目操作,因此您不必担心.
关于您的相对路径中断,请注意以下事项:不要使用相对路径.使用至少一个域根路径(以斜杠开头)引用所有资源,并且这种URL损坏不会以您所描述的方式破坏您的网站.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。