我一直在到处搜索以尝试找到解决方案.我最近一直在我们的网站上运行扫描,以查找XSS和sql注入的任何漏洞.一些项目引起了我的注意.

现在,使用filter_var()验证并清除用户输入的任何数据.

现在,我的问题是XSS和操纵URL的人员.似乎无处不在的简单方法是：

http://www.domainname.com/script.PHP/">< script>alert('xss');< /script >

然后,这将更改某些$_SERVER变量,并导致我到CSS,链接,图像等的所有相对路径都无效,并且页面无法正确加载.

我清除了脚本中使用的所有变量,但是不确定如何删除URL中不需要的数据.

提前致谢.

加成：
然后,这会在模板文件中导致一个简单的链接：

<a href="anotherpage.PHP">Link</a>

实际链接到：

“ http://www.domainname.com/script.PHP/\”\u0026gt;\u0026lt;脚本> alert(‘xss’);< / script> /anotherpage.PHP

解决方法:

关于XSS的问题：除非您盲目使用相关的$_SERVER变量,否则更改后的URL不会进入您的页面.相对链接似乎包含URL注入脚本的事实是浏览器行为,冒着仅破坏相对链接的风险.由于您不会使用$_SERVER变量盲目操作,因此您不必担心.

关于您的相对路径中断,请注意以下事项：不要使用相对路径.使用至少一个域根路径(以斜杠开头)引用所有资源,并且这种URL损坏不会以您所描述的方式破坏您的网站.