我有一个表单,用户可以在其中输入网页模板,并在其浏览器中预览。
此页面仅供他们查看:
<?php
echo "<title>".htmlspecialchars($_POST['title'], ENT_QUOTES)."</title><br/>";
echo nl2br($_POST['body']);
?>
我在测试过程中意识到它可以访问我的本地css文件/js文件。这让我想知道是否可能导致安全攻击?
网站的cookie具有域标志和httponly标志。如果客户端尝试XSS,他们只会自己被攻击,对吗?
我的Web服务器回显$_POST是安全的吗?
echo file_get_contents('/some/sensitive/file/with_passwords.php')
并且能够看到它。很多网站允许用户使用 HTML 创建自己的个人资料并且没有问题。但是根据你正在做什么,如果有很多人将在你的站点上下文中访问他们的 URL,那么可能需要过滤掉很多 XSS 技巧,以防止他们窃取document.cookie
。 - drew010