如何從代碼角度分析及簡單防護(hù)XSS

發(fā)布時間：2021-12-27 17:34:03 來源：億速云閱讀：158 作者：柒染欄目：大數(shù)據(jù)

這篇文章將為大家詳細(xì)講解有關(guān)如何從代碼角度分析及簡單防護(hù)XSS，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

xss在平時的測試中，還是比較重要的，如果存在儲存型xss，就可以做很多事情了，打cookie，添加管理員等等很多操作。

以下所有代碼都是我自己寫的，可能有不美觀，代碼錯誤等等問題，希望大家可以指正。

漏洞講解

這是一個輸入框

如何從代碼角度分析及簡單防護(hù)XSS

在里面寫入經(jīng)典彈窗代碼

如何從代碼角度分析及簡單防護(hù)XSS

點(diǎn)擊提交，再進(jìn)入index.php

如何從代碼角度分析及簡單防護(hù)XSS

就會出現(xiàn)彈窗代碼

這里，補(bǔ)充一下前面用到的代碼

如何從代碼角度分析及簡單防護(hù)XSS

其原因就在于，沒有對輸入進(jìn)行過濾，直接存入了數(shù)據(jù)庫

簡單修復(fù)

只需要在傳入的時候?qū)?nèi)容進(jìn)行過濾就可以了

這里我們主要使用的是htmlspecialchars()函數(shù)，這個函數(shù)可以將其內(nèi)容轉(zhuǎn)化為HTML實(shí)體，就完美的防止了xss漏洞

我們只需要在插入數(shù)據(jù)庫的時候?qū)ζ溥M(jìn)行處理就可以了

如何從代碼角度分析及簡單防護(hù)XSS

此時，看一下效果

如何從代碼角度分析及簡單防護(hù)XSS

這時，已經(jīng)不彈窗了

如何從代碼角度分析及簡單防護(hù)XSS

此時的標(biāo)簽已經(jīng)被轉(zhuǎn)義成HTML實(shí)體了

拓展

其實(shí)xss的作用還是特別大的，絕對不僅限于打cookie等等，之前看到一個比較有意思的文章，說是騷姿勢在后臺一頓亂爬，其實(shí)質(zhì)就是利用xss再結(jié)合一些其他的東西才達(dá)到的，所以說，思路一定要開闊，不要僅限于一個漏洞本身的那幾個利用點(diǎn)。

關(guān)于如何從代碼角度分析及簡單防護(hù)XSS就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

向AI問一下細(xì)節(jié)

猜你喜歡