我有一个用户输入网页模板的表单,他们可以在浏览器中预览。
此页面仅供他们查看:
<?php
echo "<title>".htmlspecialchars($_POST['title'], ENT_QUOTES)."</title><br/>";
echo nl2br($_POST['body']);
?>
我在测试时意识到它可以访问我的本地css文件/ js文件。这让我想知道这是否可能导致安全攻击?
网站Cookie具有域标志和httponly标志。如果客户试图使用XSS,他们只会利用自己的权利吗?
我的网络服务器是否可以安全地回复$ _POST?
答案 0 :(得分:1)
即使使用httponly标志,您仍然希望防范XSS,原因如下: http://lcamtuf.coredump.cx/postxss/。攻击者可以窃取页面上显示的其他有价值的信息,而不是cookie。