xss(跨站脚本攻击)简单示例
echo $_POST['tt'];
ie8中用httpwatch(到这里下载)可以看到,点击“点一下你就完了”时就可以看到发送了一个不善意的http请求。
试想一个场景:如果攻击者在某个网站的发布了一个帖子,内容就是上面的,那么无辜的用户只要点击了“点一下你就完了”这个链接,就会自动发送个人信息给攻击者。
问题的解决是比较简单的,过滤掉script标签以及标签里面的内容即可,靠谱点的系统应该是客户端和服务端都去掉script标签:
$str = preg_replace('/<script[^>]*?>.*?<\/script>/i', '', $str);
在chrome浏览器中,当点击“点一下你就完了”时,不会发送攻击者想要的http请求,也就是说不会执行攻击者提交的javascript代码,这也充分证明了chrome浏览器是比较安全的。
