我们来自五湖四海,不为别的,只因有共同的爱好,为中国互联网发展出一分力!

htmlspecialchars函数并不能百分百的防止XSS攻击

2013年12月12日02:15 阅读: 28802 次

标签: htmlspecialchars, 函数, 并不能

htmlspecialchars()函数只对&、’、”、<、>符号进行转译成html特殊符号
 
我们可以通过url编码对带有连接的标记进行攻击:
 
 
<a href="
<?php echo htmlspecialchars("javascript:alert(1)",ENT_QUOTES); ?>
">a</a>
    
<a href="
<?php echo htmlspecialchars("javascript:location%3D'http%3A%2F%2Fqq.com'",ENT_QUOTES); ?>
">a</a>

 


分享到: 更多
©2017 安全焦点 版权所有.
人才招聘联系我们