Javascript 如何正确编码JS脚本以作为GET in URL运行
我正在做一个XSS测试,并且已经有了一个可以正常工作的JS解决方案,但是,在如何正确编码和转义脚本以在浏览器中按预期运行方面,我有点走错了方向 假设我发现了一个漏洞,Javascript 如何正确编码JS脚本以作为GET in URL运行,javascript,php,url,Javascript,Php,Url,我正在做一个XSS测试,并且已经有了一个可以正常工作的JS解决方案,但是,在如何正确编码和转义脚本以在浏览器中按预期运行方面,我有点走错了方向 假设我发现了一个漏洞,XSS将被JS代码替换: http://vulnerablewebsite.net/?search=<script>XSS</script> 我知道需要对“和”进行转义,以避免出现PHP语法错误,但换行符、空格等又如何呢?不允许用户插入HTML,如果他们以某种方式插入HTML,则仅此而已!您阅读了问题了吗?
XSS
将被JS代码替换:
http://vulnerablewebsite.net/?search=<script>XSS</script>
我知道需要对
“
和”
进行转义,以避免出现PHP语法错误,但换行符、空格等又如何呢?不允许用户插入HTML,如果他们以某种方式插入HTML,则仅此而已!您阅读了问题了吗?这不是如何防止XSS。strip_标记()
不是防止跨站点脚本编写的安全方法。不要允许用户插入HTML,如果他们以某种方式插入了HTML,那么就不要这样做!你读过问题了吗?问题不是如何防止XSS。strip_tags()
不是防止跨站点脚本编写的安全方法。
var url = document.body.outerHTML.match(/http:\/\/blabla\.net\/\?token=([a-zA-Z]|[0-9])*/)[0];
var request = new XMLHttpRequest();
request.open("GET", url);
request.setRequestHeader("X-Test","test1");