JavaScript网站漏洞
JavaScript website vulnerability
今天早上我注意到我的网站上可能存在漏洞;我不确定我的网站是否会被它损坏,但是……
在我的网站上,我使用JavaScript代码来打开(显示)主页内的不同部分(其他页面);
在主index.php中,我在显示其他页面的地方放置了以下代码:
标题:
<?php
$section = "default";
if (isset($_GET["page"]))
{
$section = $_GET["page"];
}
?>
正文:
<script type="text/javascript">
openPage('<?php echo($page); ?>');
</script>
JavaScript函数是这样的:
function openPage(page, form)
{
var data = "page=" + page;
if (form != null)
data += "&" + $("#" + form).serialize();
$("#content").html("<center>Wait..</center>");
$.ajax({
type: "POST",
url: "content.php",
data: data,
success: function(result) {
$("#content").html(result);
}
})
}
content.php
<?
if (file_exists("pages/".$page.".php"))
include("pages/".$page.".php");
else
{
include("pages/default.php");
}
?>
我的问题是,如果我在url中写:
url.com/index.php?page=</script><script>alert(1)</script>
提示信息出现,我该怎么办?这有危险吗?我怎样才能修好它?
这不是JS漏洞,这是你的代码漏洞。
你可以使用htmlspecialchars:
<?php
$section = "default";
if (isset($_GET["page"]))
{
$section = htmlspecialchars($_GET["page"]);
}
?>
http://www.w3schools.com/php/func_string_htmlspecialchars.asp 是的,这很危险,因为恶意的人现在可以在您的域上形成执行客户端代码的url。这可以从显示一个简单的警告框到劫持cookie。这被称为跨站点脚本。
忽略当前设置是否良好,您可以通过在输出$_GET['page']
变量之前对其进行消毒来修复漏洞:
htmlspecialchars($_GET['page']);
相关文章:
- 如何识别我的网站中的慢速设备
- 用Javascript更改我网站上的字体大小
- 有任何可能将facebook实时信使整合到一个网站中
- 将电视直播频道从网站嵌入我的网站
- Windows 8固定的网站互动程序
- 门户网站:当地时间有多有用
- 正在删除node.js中已验证的网站
- 为什么在这个网站上不能通过JS访问元素
- 需要使用谷歌应用程序脚本列出谷歌域下的所有网站
- 为什么只有工厂在棱角分明的网站上被提及
- 从应用程序脚本检查谷歌网站访问权限
- 使用谷歌网站翻译器自动翻译网页
- 使用node.js制作网站
- 谷歌如何确定网站加载时间
- 带有url的单页网站导航
- Ajaxify Wordpress网站与社交插件
- 为什么可以't Protractor在自动初始化的Angular网站上查找Angular
- 如何将Perfidies(浏览器插件漏洞扫描程序)集成到我的网站中
- 选择器在我的网站上被解释为HTML.攻击者可以轻易利用此漏洞吗
- JavaScript网站漏洞