是日本字符集euc-jp制作xss吗?
<html>
<body>
<script type="text/javascript">
var a ="<?php echo htmlspecialchars($_GET['a']) ?>";
var b ="<?php echo htmlspecialchars($_GET['b']) ?>";
</script>
</body>
</html>
我会将参数a取为%f0然后:
<html>
<body>
<script type="text/javascript">
var a =";
var b ="";
</script>
</body>
</html>
我有那种不好的感觉
我很高兴你能给我一些例子
答案 0 :(得分:0)
您正在将用户输入直接粘贴到Javascript中。这是一个XSS注射场日。日本的charset没有任何关系。任何人都可以输入他们喜欢的任何Javascript,而你的代码也无法阻止它。
这是因为你是针对HTML字符/转义进行编码...而不是Javascript的。