所以我的学校网站遭到黑客攻击,因为我的教授得到了XSS-ed。所以我发现攻击者使用了这个XSS攻击媒介
<img src="<img src=search"/onerror=alert("Xss")//">
任何人都可以向我解释这个向量是如何工作的,你如何建议我设置我的网站以防止进一步的XSS攻击。为什么img里面有img标签? 感谢..
答案 0 :(得分:1)
简单地说,他正在结束你的src标签,然后插入他自己的onerror处理程序。无法加载图像时会调用onerror。您可以阻止此操作转移所有用户输入 - 期望每个用户都试图破解您的网站。
在PHP中,您可以使用:
来完成此操作 strip_tags($_POST['val']):