시나리오 : " ' < >
" ' < >
로를하지만 "&"문자을 유지 :XSS : REQUEST_URI를 통해 htmlspecialchars() 실행 - &을 & - XSS 삽입을 방지하기에 충분하도록 바꾸시겠습니까?
나는 대체하고 싶습니다.
처리 할 문자열이 URL이고 &
이 아닌 &
으로 URL 매개 변수를 구분하고 싶습니다.
예 솔루션 :
$url = "/some/path?a=123&b=456"; // from $_SERVER["REQUEST_URI"];
$url = htmlspecialchars($url, ENT_QUOTES, 'ISO-8859-1', true);
$url = str_replace('&','&',$url);
질문 :
내 페이지에 $url
를 사용하는 경우 (예를 들어, echo $url;
HTML 내부 또는 자바 스크립트)이이 XSS에 의해 악용 될 수 있습니까?
비슷한 질문 :
가 SO XSS &
htmlspecialchars()
을 포함하는 다른 게시물하지만 내가 주위에 답변을 찾을 수 있는지 여부 "&" 문자 (과를 htmlentities이 을 할 수있다 허용)하면 XSS에 노출 될 수 있습니다.
이 URL은 사용자 데이터로부터 획득되어 있습니까? –
제 경우 URL은 $ _SERVER [ "REQUEST_URI"]에서 가져옵니다. ... 기본적으로 브라우저 주소 표시 줄에 입력 된 모든 것. –