zoukankan      html  css  js  c++  java
  • YII XSS(跨站脚本攻击)

      

    Yii::$app->response->headers->add('X-XSS-Protection','0');//表示关闭YII的跨站脚本过滤
    //
    http://www.frontend.com/test/post?name=<script>alert("hello world!")</script> 反射型注入攻击
    echo Yii::$app->request->get("name");
    //页面会弹出一个alert

     在比较特殊的情况下YII的防止跨站攻击也会失效

      

    // http://www.frontend.com/test/post?key=%26quot;;alert(3);
    return $this->render("demo");
    demo的内容如下,也会弹出alert()
    <img src='x.jpg' onerror='var a="123<?=$_GET["key"];?>";'/>

      YII针对XSS输入

      

    //http:///www.frontend.com/test/post?script=<script>alert(3)</script>
    $script = Yii::$app->request->get("script");
    //echo YiihelpersHtml::encode($script);//直接转义
    echo YiihelpersHtmlPurifier::process($script);//过滤
  • 相关阅读:
    java冒泡排序
    正则表达式手册
    简单介绍事务
    Java经典编程30题(中)
    Java经典编程30题(下)
    负载均衡-Nginx
    react入门
    Mybatis && Mybatis-plus
    java设计模式-委派模式
    java8新特性
  • 原文地址:https://www.cnblogs.com/isuben/p/5533750.html
Copyright © 2011-2022 走看看