我必须处理以前开发人员留下的旧网络应用程序。它使用addslashes() 来防止HTML 属性上的XSS。
这是一个例子:
<?php
// all $_POST vars are put through addslashes()
echo "<input type='hidden' value='" . $_POST['id'] . "' />";
?>
这是否容易受到 XSS 攻击? javascript 是否可以像在 src 属性中一样在 value 属性中运行,例如 src='javascript:alert(99)'。还是可以把value属性拆出来再插入script标签?
编辑:感谢昆汀,我相信它很脆弱。
【问题讨论】:
标签: php javascript security xss
addslashes() 可以安全地防止 HTML 属性中的 XSS 吗?
这是非常无效的。
这是否容易受到 XSS 攻击?
是的。
javascript 是否可以像在 src 属性中一样在 value 属性中运行,例如 src='javascript:alert(99)'。
没有
或者可以将value属性拆分出来再插入script标签?
数据只需要包含一个" 并且属性被打破。
当您想将任意字符串插入属性值时,请使用htmlspecialchars。
【讨论】:
d 放在前面相比没有任何意义。
addslashes() 不适合此任务。请改用htmlspecialchars() 或htmlentities(),例如
<input type="hidden"
value="<?php echo htmlspecialchars($_POST['id'], ENT_QUOTES, 'UTF-8') ?>">
【讨论】: