如何通过了解用户请求数据的网站来避免跨站点脚本?
答案 0 :(得分:7)
如何避免跨站点脚本
通过了解用户请求数据的站点,您无法避免跨站点脚本。
您可以通过正确转义来避免跨站点脚本。
答案 1 :(得分:3)
$_SERVER['HTTP_REFERER']
应包含请求所源自的URL。
编辑:如果您实际上是在尝试阻止XSS,那么主要是为了确保您在打印未经过滤的用户数据的任何地方都使用htmlentities(),并且应该在几乎所有打印的数据上使用它。这意味着被视为原始HTML。虽然在编写PHP代码时也有很多注意事项,但是在没有任何指针的情况下,它们太多了,无法讨论。
答案 2 :(得分:2)
我不确定知道引荐来源网址是否适合您,但
大多数情况下,XSS攻击来自输入或数据 在将它显示到浏览器之前没有很好地过滤或清理,例如 饼干/会话。
请阅读下面的文章,该文章教授一个库以防止XSS攻击。
链接:http://oozman.com/php-tutorials/avoid-cross-site-scripting-attacks-in-php/
答案 3 :(得分:1)
使用$_SERVER["HTTP_REFERER"],但请查看对this问题的回复。
答案 4 :(得分:1)
在$ _SERVER数组中,基本情况下这是$ _SERVER ['HTTP_REFERER'] - 但是如果用户从js方法(例如document.location.href ='yoursite.com')转到您的站点。 IE(在IE7上测试)没有通过安全原因向您发送有关引用者的信息。