但是,请考虑用户在地址栏中输入以下网址:
http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('黑客')%3C /脚本%3E
在这种情况下,上述代码将被翻译为:
<form method="post" action="test_form.php/"><script>alert('hacked')</script>
我的问题是那部分开始是什么&#34;%22%3E%&#34;?它是一种语言吗?以及如何将其转换为上面的脚本代码?
答案 0 :(得分:0)
%22%3E%是"><的编码渲染。
这个片段演示的内容是,如果不小心使用PHP(或任何其他服务器端脚本语言),如何将内容添加到URL字符串中可能会将内容注入到html页面中。
在这里,它所做的只是注入一些javascript来弹出一个警告窗口(<script>alert('hacked')</script>)。潜在地,它可能会注入具有更多恶意效果的JavaScript代码。