phtony编程 XSS攻击时是怎么绕过htmlspecialchars函数的?
XSS攻击时是怎么绕过htmlspecialchars函数的?不幸的是,htmlspecialchars函数只能在特定场景中绕过。htmlspecialchars()函数将预定义字符转换为HTML实体
XSS攻击时是怎么绕过htmlspecialchars函数的?
不幸的是,htmlspecialchars函数只能在特定场景中绕过。
htmlspecialchars()函数将预定义字符转换为HTML实体,从而使XSS攻击无效。但是,此函数的默认配置不会过滤单引号(”),只会将quotestyle选项设置为ENT,单引号在引用时会被过滤掉,但单引号仍然可以用来关闭事件,然后插入恶意XSS代码。
如下图所示(图来自网络,已删除)