Question

У меня проблема с получением моего сайта соответствия PCI из-за уязвимости моего сайта к атаке XSS. Я пытался использовать htmlspecialchars () и htmlentities (), однако Trustwave все еще говорит, что мой сайт уязвим для атак, закодированных URL. Например, кто-то может ввести что-то вроде «% 2522% 253E% 2527% 253E% 253CIfRaME% 253E» в переменную url, к которой я обращаюсь, и я не уверен, как с этим справиться. Пожалуйста помоги!! Спасибо:)

Janis Peisenieks · Answer 1 · 09 февраля 2012

Мой 2цента:

Если вы используете MVC, попробуйте декодировать все значения перед маршрутизацией и используйте stript_tags(), чтобы избавиться от этих неприятностей. И, как говорят документы , дело не должно влиять на что-либо.

Если нет, создайте служебную функцию и сделайте то же самое при извлечении переменных из URI. Но я ни в коем случае не эксперт по XSS, так что это может быть только частью уловки.

Предотвращение закодированных URL-атак XSS в PHP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Предотвращение закодированных URL-атак XSS в PHP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов