我有一段代码,它是一个简单的html页面。
<?php
require_once ("include/config.php");
require_once($home."include/main_pre_body.php");
require_once($home."pop-ups/email/email_form.php")
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<link rel="stylesheet" type="text/css" href="css/style.css" />
<link rel="stylesheet" type="text/css" href="css/calendar.css" />
<link rel="stylesheet" type="text/css" href="css/time.css" />
</head>
<Title><?php echo $EMAIL_TITLE_TEXT?></Title>
<!-- Load Email Form Window -->
<body onload="OpenEmailWin()" style="margin:0px;">
<?php
require_once($home."include/main_post_body.php");
?>
</body>
</html>
我想阻止所有可能的xss攻击,并且我可以识别一些但不是全部。
这是我认为应该固定的第一行<body onload="OpenEmailWin()" style="margin:0px;">。我研究过xss漏洞,但是使用<和/>令我感到最惊讶。我是从这个答案https://stackoverflow.com/a/16126384/492293
使用<和/>是否可以使网页易于受到xss攻击,并且简单页面的其他哪些部分容易受到xss的攻击?
谢谢。
答案 0 :(得分:0)
The two functions htmlspecialchars() and htmlentities() are gonna help you.
Use these functions while getting data with POST or GET.
like shown below:
htmlspecialchars($_POST["example"]);
htmlentities($_POST["example"]);
or
htmlspecialchars($_GET["example"]);
htmlentities($_GET["example"]);