1、1. 普通表单域
2、2.
通过上图,xss攻击的原理:
直接把原生的html代码给存储到数据库里边去了
这个原生html代码 在浏览器里边是要被解析运行的,一运行 xss攻击效果就有体现
防范之一:
可以把原生的html代码给变为符号实体存储
在php中有htmlspecialchars()函数可以把”<” ”>”符号变为符号实体
3、3.
在tp框架中做xss攻击可以通过create方法实现数据收集,就自动防止xss攻击了
create()------>I()------->htmlspecialchars()
4、4.进行测试添加商品,用XSS攻击网站。
5、5.添加商品后,回到商品页面看都XSS攻击失效了。说明htmlspecialchars()函数防范成功。
6、6.是因为HTML代码变成符号实体存储到了数据库。
