YII XSS(跨站脚本攻击)

Posted 雨落知音

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了YII XSS(跨站脚本攻击)相关的知识,希望对你有一定的参考价值。

  

\Yii::$app->response->headers->add(‘X-XSS-Protection‘,‘0‘);//表示关闭YII的跨站脚本过滤
//
http://www.frontend.com/test/post?name=<script>alert("hello world!")</script> 反射型注入攻击
echo \Yii::$app->request->get("name");
//页面会弹出一个alert

 在比较特殊的情况下YII的防止跨站攻击也会失效

  

// http://www.frontend.com/test/post?key=%26quot;;alert(3);
return $this->render("demo");
demo的内容如下,也会弹出alert()
<img src=‘x.jpg‘ onerror=‘var a="123<?=$_GET["key"];?>";‘/>

  YII针对XSS输入

  

//http:///www.frontend.com/test/post?script=<script>alert(3)</script>
$script = \Yii::$app->request->get("script");
//echo \Yii\helpers\html::encode($script);//直接转义
echo \Yii\helpers\HtmlPurifier::process($script);//过滤

 

以上是关于YII XSS(跨站脚本攻击)的主要内容,如果未能解决你的问题,请参考以下文章

XSS(跨站脚本攻击)详解 (上)

xss(跨站脚本攻击)

xss(跨站脚本攻击)

XSS跨站脚本攻击总结

XSS跨站脚本攻击

XSS跨站脚本攻击