可能重复:
PHP_SELF and XSS
为什么有必要过滤$ _SERVER ['PHP_SELF'],例如:
<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<!-- form contents -->
</form>
to:
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"], ENT_QUOTES, "utf-8"); ?>">
<!-- form contents -->
</form>
为了使其成为XSS攻击证明?
和
攻击者如何使用第一种形式的“漏洞”来吸引除自己以外的最终用户?
答案 0 :(得分:1)
攻击者如何使用第一种形式的“漏洞”来吸引除他自己以外的最终用户?
攻击者可以从他控制的网站或他发送的电子邮件链接到您的网站。
答案 1 :(得分:0)
如果您正在使用AcceptPathInfo
或类似内容,以便将/index.php/foo/bar
这样的URI定向到/index.php
,请求/index.php/%22%E3E…
可以将您的以下数据移到form
之外1}}标签。
至于第二个问题:click here。