-2
XSSкак предотвратить перекрестное скриптинг - изображение связано
вы можете мне помочь с thid сценариев Межсайтовый я новичок в этом
A
ответ
0
Межсайтовый скриптинг является инъекции кода атаки ,
Проблема заключается в том, что пользователь (или кто-то другой) вводит скрипт вместо некоторого входного значения. Например, пользователь помещает в свой комментарий тег «<script>».
Если вы затем просмотрите список комментариев, этот скрипт будет выполнен для всех, кто посещает эту страницу.
Что вам нужно сделать, это очистить выходные данные, то есть удалить или удалить все html-коды, которые вы пишете на странице. Таким образом, тег <script> будет заменен на <script>, и он станет безвредным, в то время как выглядит точно так же.
+0
Я использую это для печати сообщения пользователю, который отправляет форму, есть ошибка в этом, показывающая кросс-сайт сценарии ?? 'echo '"; ' –
+0
Это имя $, которое вы не фильтруете. Предположим, что кто-то вводит имя: ''); doNastyStuff(); alert ('Вы получили принадлежащее, приятель! ' – user1582024
+0
Решение должно заключаться в том, чтобы поставить \ перед всеми одинарными кавычками в $ name, хотя, вероятно, существуют стандартные способы очистки строк Javascript. Это на самом деле очень похожая атака на SQL-Injection, но здесь это происходит в браузере, а не в БД. – user1582024
Посмотрите CSP - не приятельское общество физиотерапевтов (хотя они очень хорошие), но * Политика безопасности содержимого * – Martin