XSS攻擊時(shí)是怎么繞過htmlspecialchars函數(shù)的？

2018-10-11

2477

網(wǎng)友解答: 很遺憾，只能在特定場景下才能繞過htmlspecialchars函數(shù)。htmlspecialchars() 函數(shù)把預(yù)定義的字符轉(zhuǎn)換為 HTML 實(shí)體，從而使XSS攻擊失效。但

網(wǎng)友解答:

很遺憾，只能在特定場景下才能繞過htmlspecialchars函數(shù)。

htmlspecialchars() 函數(shù)把預(yù)定義的字符轉(zhuǎn)換為 HTML 實(shí)體，從而使XSS攻擊失效。但是這個(gè)函數(shù)默認(rèn)配置不會(huì)將單引號(hào)( ' )過濾，只有設(shè)置了：quotestyle 選項(xiàng)為ENT_QUOTES的時(shí)候才會(huì)過濾掉單引號(hào)，但仍然可以通過單引號(hào)閉合某一個(gè)事件然后插入惡意的XSS代碼。

如下圖（圖來源自網(wǎng)絡(luò)，侵刪）

成人AV在线无码|婷婷五月激情色,|伊人加勒比二三四区|国产一区激情都市|亚洲AV无码电影|日av韩av无码|天堂在线亚洲Av|无码一区二区影院|成人无码毛片AV|超碰在线看中文字幕

相關(guān)推薦