0

日文字符集 euc-jp 制作 xss 吗?

<html> 
<body> 
<script type="text/javascript"> 
    var a ="<?php echo htmlspecialchars($_GET['a']) ?>";
    var b ="<?php echo htmlspecialchars($_GET['b']) ?>";
</script> 
</body> 
</html>

我将获取参数 a 作为 %f0 然后:

<html> 
<body> 
<script type="text/javascript"> 
    var a =";
    var b ="";
</script> 
</body> 
</html>

我有那种不好的感觉

我很高兴你给我一些例子

4

1 回答 1

0

您正在将用户输入直接粘贴到 Javascript 中。那是 XSS 注入领域的一天。日语字符集与它无关。任何人都可以输入他们喜欢的任何 Javascript,而您的代码不会阻止它。

这是因为您正在针对 HTML 字符/转义符对它进行编码……而不是 Javascript 字符。

于 2010-12-17T04:37:11.043 回答