XSS攻击问题-关于URL
来源:9-3 SQL注入演示和危害
TYRMars
2017-07-21
老师,如果在进行URL传值得时候对URL做encodeURIComponent ,在接收的时候decodeURIComponent,是不是也可以防止XSS攻击呢?
写回答
2回答
-
不能。因为XSS攻击的重点不在于传输过程中有没有转义,而在最后输出的时候有没有转义。如果我传一段脚本,它直接显示出来,这是XSS,如果我做了某种encode,但是显示的时候又decode了,那实际上相当于啥也没做。
00 -
TooooBug
2017-07-28
SQL注入也是同样原理,只要在拼接SQL的时候是用的原来的值,不管传输过程有没有转义,都没有防御作用。
00
相似问题