xss攻击代码<script>alert(1)</script>什么意思

这段post提交的xss攻击代码是什么意思


post代码：

1. key=1'"()%26%25<acx><ScRiPt>alert(9172)</ScRiPt>

复制代码

UrlEncode编码：
key=1'"()%26%25<acx><ScRiPt>alert(9172)</ScRiPt>

UrlEncode解码：
key=1'"()&%<acx><ScRiPt>alert(9172)</ScRiPt>

解释：
这是一段xss攻击代码，表示post提交的数据中key的值为：1'"()&%<acx><ScRiPt>alert(9172)</ScRiPt>
提交的这个值是一段js代码，表示在页面弹出一个警告的对话框，对话框的内容显示“9172”。

----------------------------------------------------------------------------



post代码：

1. key=1'"()%26%25<acx><ScRiPt%20>alert(9172)</ScRiPt>&sub=%E6%9F%A5%E6%89%BE

复制代码

UrlEncode编码：
key=1'"()%26%25<acx><ScRiPt%20>alert(9172)</ScRiPt>&sub=%E6%9F%A5%E6%89%BE

UrlEncode解码：
key=1'"()&%<acx><ScRiPt >alert(9172)</ScRiPt>&sub=查找

常用的xss攻击代码，便于测试系统安全漏洞：
1'"()&%<acx><ScRiPt >prompt(915149)</ScRiPt>

过滤html代码：
    $farr = array(   
        "/\s+/", //过滤多余空白   
         //过滤 <script>等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object>的过滤   
        "/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/isU",   
        "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",//过滤javascript的on事件   
   );   
   $tarr = array(   
        " ",   
        "＜\1\2\3＞",//如果要直接清除不安全的标签，这里可以留空   
        "\1\2",   
   );   
   $_POST = preg_replace( $farr,$tarr,$_POST);