将一个PHP变量分配到一个javascript变量中,该变量不能按预期工作
您好,我正在检查我的公司网站XSS漏洞,方法是在输入中添加一些脚本标记。事实上,我的公司网站很脆弱将一个PHP变量分配到一个javascript变量中,该变量不能按预期工作,javascript,php,session,Javascript,Php,Session,您好,我正在检查我的公司网站XSS漏洞,方法是在输入中添加一些脚本标记。事实上,我的公司网站很脆弱 <script>alert("Xss Attack");</script> 警报(“Xss攻击”); 这提醒 Xss攻击 现在我正在尝试做更多的测试来理解它,现在我正在尝试获取会话id并将其传递给其他网站,然后我将获取会话id,并使用该会话id获得用户访问权限。这是我获取会话id的代码,我在输入字段中键入此代码并提交表单 <script>var sess_i
<script>alert("Xss Attack");</script>
警报(“Xss攻击”);
这提醒
Xss攻击
现在我正在尝试做更多的测试来理解它,现在我正在尝试获取会话id并将其传递给其他网站,然后我将获取会话id,并使用该会话id获得用户访问权限。这是我获取会话id的代码,我在输入字段中键入此代码并提交表单
<script>var sess_id = "<?php echo session_id(); ?>"; alert(sess_id); </script>;
var sess_id=”“;警报(sess_id);
但这只是警报
在我的php中,我将变量输出为
<td> <?php echo $name;?> </td>
但是
在我的PHP页面中,如果我直接键入代码
<script>var sess_id = "<?php echo session_id(); ?>"; alert(sess_id); </script>
var sess_id=”“;警报(sess_id);
它正确地获取会话id,如ba6k806tlcbvqs0l39ipcms956
我认为在我的第2个例子中,它工作正常,因为它没有包装PHP标记。
在第一种情况下,它有包装PHP标记
那么我应该如何将session_id添加到javascript变量sess_id中呢,请帮忙。提前感谢:)如果您将PHP放入外部JavaScript文件,它将无法工作。当提供JavaScript文件时,PHP已经完成了这项工作。JavaScript是客户端,PHP是服务器端。您需要在PHP文件中插入JavaScript代码以获得所需的响应。我不建议在页面的任何位置打印或显示会话id@NoGray Hi我不想打印或显示会话id,这只是为了测试,我想获取会话id并将其传递到另一个站点,获取会话id并攻击此网站如果用户以表单元素的形式提交php代码,则在服务器端执行php的唯一方法是服务器脚本通过eval()运行它或者类似的东西。