xss攻击代码<script>alert(1)</script>什么意思
这段post提交的xss攻击代码是什么意思post代码:
key=1'"()%26%25<acx><ScRiPt>alert(9172)</ScRiPt>
UrlEncode编码:
key=1'"()%26%25<acx><ScRiPt>alert(9172)</ScRiPt>
UrlEncode解码:
key=1'"()&%<acx><ScRiPt>alert(9172)</ScRiPt>
解释:
这是一段xss攻击代码,表示post提交的数据中key的值为:1'"()&%<acx><ScRiPt>alert(9172)</ScRiPt>
提交的这个值是一段js代码,表示在页面弹出一个警告的对话框,对话框的内容显示“9172”。
----------------------------------------------------------------------------
post代码:
key=1'"()%26%25<acx><ScRiPt%20>alert(9172)</ScRiPt>&sub=%E6%9F%A5%E6%89%BE
UrlEncode编码:
key=1'"()%26%25<acx><ScRiPt%20>alert(9172)</ScRiPt>&sub=%E6%9F%A5%E6%89%BE
UrlEncode解码:
key=1'"()&%<acx><ScRiPt >alert(9172)</ScRiPt>&sub=查找
常用的xss攻击代码,便于测试系统安全漏洞:
1'"()&%<acx><ScRiPt >prompt(915149)</ScRiPt>
过滤html代码:
$farr = array(
"/\s+/", //过滤多余空白
//过滤 <script>等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object>的过滤
"/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/isU",
"/(<[^>]*)on+\s*=([^>]*>)/isU",//过滤javascript的on事件
);
$tarr = array(
" ",
"<\1\2\3>",//如果要直接清除不安全的标签,这里可以留空
"\1\2",
);
$_POST = preg_replace( $farr,$tarr,$_POST);
页:
[1]