phtony编程 XSS攻击时是怎么绕过htmlspecialchars函数的?
浏览量:1715
时间:2021-03-12 07:02:47
作者:admin
XSS攻击时是怎么绕过htmlspecialchars函数的?
不幸的是,htmlspecialchars函数只能在特定场景中绕过。
htmlspecialchars()函数将预定义字符转换为HTML实体,从而使XSS攻击无效。但是,此函数的默认配置不会过滤单引号(”),只会将quotestyle选项设置为ENT,单引号在引用时会被过滤掉,但单引号仍然可以用来关闭事件,然后插入恶意XSS代码。
如下图所示(图来自网络,已删除)
phtony编程 htmlspecialchars绕过 php
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。