我一直在到处搜索以尝试找到解决方案.我最近一直在我们的网站上运行扫描,以查找XSS和sql注入的任何漏洞.一些项目引起了我的注意.
现在,使用filter_var()验证并清除用户输入的任何数据.
现在,我的问题是XSS和操纵URL的人员.似乎无处不在的简单方法是:
http://www.domainname.com/script.PHP/">< script>alert('xss');< /script >
然后,这将更改某些$_SERVER变量,并导致我到CSS,链接,图像等的所有相对路径都无效,并且页面无法正确加载.
我清除了脚本中使用的所有变量,但是不确定如何删除URL中不需要的数据.
提前致谢.
<a href="anotherpage.PHP">Link</a>
实际链接到:
“ http://www.domainname.com/script.PHP/\”\u0026gt;\u0026lt;脚本> alert(‘xss’);< / script> /anotherpage.PHP
解决方法:
关于XSS的问题:除非您盲目使用相关的$_SERVER变量,否则更改后的URL不会进入您的页面.相对链接似乎包含URL注入脚本的事实是浏览器行为,冒着仅破坏相对链接的风险.由于您不会使用$_SERVER变量盲目操作,因此您不必担心.
关于您的相对路径中断,请注意以下事项:不要使用相对路径.使用至少一个域根路径(以斜杠开头)引用所有资源,并且这种URL损坏不会以您所描述的方式破坏您的网站.