3

我有一个表单,用户可以在其中输入 Web 模板,然后他们可以在浏览器中进行预览。

此页面仅供他们查看:

<?php
echo "<title>".htmlspecialchars($_POST['title'], ENT_QUOTES)."</title><br/>";
echo nl2br($_POST['body']);
?>

我在测试时意识到它可以访问我的本地 css 文件/js 文件。这让我想知道这是否可能导致安全攻击?

站点 cookie 具有域标志和 httponly 标志。如果客户端尝试 XSS,他们只会利用自己,对吗?

我的 Web 服务器回显 $_POST 是否安全?

4

1 回答 1

1

即使使用 httponly 标志,您仍然希望防止 XSS,原因如下:http://lcamt ​​uf.coredump.cx/postxss/。攻击者可以窃取页面上显示的其他有价值的信息,除了 cookie。

于 2012-05-11T23:43:09.117 回答