XSS攻击时是怎么绕过htmlspecialchars函数的?
很遗憾,只能在特定场景下才能绕过htmlspecialchars函数。
htmlspecialchars() 函数把预定义的字符转换为 HTML 实体,从而使XSS攻击失效。但是这个函数默认配置不会将单引号( ' )过滤,只有设置了:quotestyle 选项为ENT_QUOTES的时候才会过滤掉单引号,但仍然可以通过单引号闭合某一个事件然后插入恶意的XSS代码。
如下图(图来源自网络,侵删)
版权说明:Copyright © 广州京杭网络科技有限公司 2005-2024 版权所有 粤ICP备16019765号
广州京杭网络科技有限公司 版权所有
免费热线:400-683-0016
扫二维码关注公众号
当前位置: