问题描述
我正在寻找一种清理$ request_uri内容的方法,以防止自定义错误文档中的XSS。
我要做什么: 我们有自定义错误文档。这些错误文档中有一个链接,用于将错误报告给我们的客户支持工具。要了解发生了什么情况以及发生在哪里,我们将$ request_uri包含在支持工具的URL中的get参数中。看起来像这样:
<a href="https://support.super.tool/new/?problem_description=URL%3A%20$host$request_uri">REPORT SUPPORT CASE</a>
但是:如果错误URI包含一些不良内容,则会将其作为明文提供给链接,从而打开潜在的XSS。
我们如何清理$ request_uri?
谢谢, Acki
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)