如何避免XSS攻击或通过PHP净化$_GET的关键参数

Question

我刚刚测试了下面的链接，将对IE11进行XXS攻击。

http://example.net/test/?"*alert(1)*"

我找到了很多净化url参数的方法。大多数情况下，所有的解决方案都是净化$_GET的值，而不是$_GET的键，比如这个url 获取参数以避免XSS和其他攻击。

但是当我print_r我的$_GET是Array ( ["*alert(1)*"] => )时，我提供上面的url

那么我能知道如何避免这种攻击吗？它们使用$_GET的键而不是值进行攻击。

谢谢你，罗得。

Answer 1

创建了我的解决方案，我需要重写HTACESS来从http调用重定向到https。这样，在https环境中，当用户输入url时，就可以防止xss攻击。

Answer 2

XSS攻击发生在打印恶意代码时，但代码应根据HTML和JavaScript规则执行。例如，如果*alert(1)*写得不正确，它就不会发出任何警告(不会执行)。然而，

<script>alert(1)</script>

和

<div onclick="alert(1);"...>

都会被处决。

有关更多细节，您可以看到XSS (跨站点脚本)预防备忘单