安全开发自己想搭建一个靶场

关注码龄粉丝数原力等级 -- 被采纳被点赞采纳率要努力啊啊啊！！ 2024-06-24 23:19 采纳率: 50% 浏览 9 首页/ 前端 / 安全开发自己想搭建一个靶场 htmlxssphp 有没有人帮忙看看，自己想写一个存储型xss评论区，结果插入JavaScript语句不会被当做JavaScript语句执行，代码如下 Document

后端 query($sql2); $row = $query->fetch_all(); $list = []; foreach($row as $mes){ $user=$mes[0]; $message = $mes[1]; $dir = ['user'=>$user,'message'=>$message]; array_push($list,$dir); } $json_str = json_encode($list); header('Content-type:application/json'); echo $json_str; ?> 展开全部收起写回答好问题 0 提建议追加酬金关注问题微信扫一扫点击复制链接分享邀请回答编辑收藏删除结题收藏举报追加酬金 (90%的用户在追加酬金后获得了解决方案) 当前问题酬金 ¥ 0 (可追加 ¥500） ¥ 15¥ 20¥ 50¥ 100¥ 200 支付方式扫码支付二维码出错点击刷新支付金额 15 元提供问题酬金的用户不参与问题酬金结算和分配支付即为同意《付费问题酬金结算规则》结题再想想删除再等等

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
专家-赤兔[在线] 全栈领域优质创作者 2024-06-24 23:19
关注
引自免费微信小程序：皆我百晓生

在您的HTML文件中，您尝试将用户输入的文本作为JavaScript函数调用来运行。这会导致一些潜在的安全风险，因为用户输入可能会包含恶意JavaScript代码。

要解决这个问题，您可以采取以下几个步骤：

步骤 1：去除JavaScript函数调用

首先，删除window.onload中的JavaScript函数调用部分，以免引发安全问题。

步骤 2：限制脚本类型

确保仅允许HTML5 script 标签中的脚本加载。通过添加 type="text/javascript" 属性到所有
后端文件示例：

connect_error) { die("Connection failed: " . $conn->connect_error); } $sql = "SELECT * FROM messages ORDER BY timestamp DESC LIMIT 10"; $result = $conn->query($sql); while ($row = $result->fetch_assoc()) { echo "$row[username] - $row[message]"; } $conn->close(); ?>

总结：

确保始终遵循最小权限原则，只提供必要的API给前端应用程序。对于任何可能的输入，都应进行严格的数据验证和过滤。同时，始终谨慎对待浏览器提供的功能，特别是那些涉及到动态网页渲染的功能。
展开全部

解决无用
评论打赏
分享
举报编辑记录
编辑

预览
轻敲空格完成输入
显示为

卡片

标题

链接
评论

按下Enter换行，Ctrl+Enter发表内容