iwebsec_xss漏洞

01-反射型XSS漏洞

?name=i<script>alert(1);</script>

直接在前端显示的时候执行，仅一处执行

02-存储型XSS漏洞

1<script>alert(1);</script>

会存储在数据库中，其他人访问时也会触发

都没什么过滤啥的，当认识一下名词吧

03-DOM XSS漏洞

DOM型是只涉及前端而已，与后端数据库无关系

<script>alert(1);</script>没反应，没触发

<img src=1 onerror=alert(1)>一开始使用的是onlaod但是不触发

04-XSS修复示例

?name=iwebsec<script>alert(1);</script>

<?php require_once '../header.php'; ?>
<html>
	<head>
		<title>XSS修复示例</title>
	</head>
	<h2>XSS修复示例</h2>
		<div class="alert alert-success">
			<p>/04.php?name=iwebsec </p>
		</div>
	<body>
 
<table class='table table-striped'>
 
<?php
	// 检查是否接收到名为"name"的GET参数
	if(isset($_GET['name'])){
		// 如果接收到"name"参数，则将其赋值给变量$name
		$name=$_GET['name'];
		// 使用htmlspecialchars将$name的值转义为HTML实体，以防止XSS攻击
		echo "<h2>"."Hello ".htmlspecialchars($name)."<h2>";
	}else{
		// 如果没有接收到"name"参数，则退出脚本
		exit();
	}
?>
</table>