php - 如何在下面的代码中利用 preg_replace for xss?
问题描述
<?php
$escaped = preg_replace("/[<>]/", "", $_GET['payload']);
?>
<h1> Hello, <?= $escaped ?>!</h1>
<h1> inject </h1>
<form>
<input type="text" name="payload" placeholder="your payload here">
<input type="submit" value="GO">
</form>
由于用户输入是 HTML 标签内容的一部分,因此可以利用 xss 漏洞。我必须以某种方式能够以<. 我尝试过编码、转义甚至使用 LB,但没有任何效果。
解决方案
推荐阅读
- html - 如何设置标题背景以适当地适合
- sorting - SSRS - 按字符串的数字部分排序
- lets-encrypt - 是否有 certbot 命令来显示帐户详细信息?
- debian - 如何在 Octave 4.4.1 上访问 graphics_toolkit qt?
- java - 我是 Java 新手,每次尝试导入 Scanner 类时,我都会看到“未使用的导入”。未使用的导入是什么意思?
- google-cloud-platform - 一个证书用于多个项目 - GCP
- linux - 使用 SSH 从 jenkins 运行 SSH 脚本命令
- linux - 如何在文件及其上方和下方的行中排除匹配的模式?
- react-native - 添加新的 RN 包后,我得到“SDK 构建工具版本对于项目来说太低”
- active-directory - 从同步中排除谷歌用户 - 谷歌 GCDS