我正在尝试将网址传递到网站,以便可以在iframe中打开,网址用于注册确认,以便用户获取他们的ID /密码,我知道如何操作并且网址打开正常,但是它被传递给网站的影响是什么(它是一个在线商店)。
以下是商店网站上的脚本:
<?
echo ($lnk); echo"<br>";
echo"<iframe src =\"" . $lnk . "\" width=\"1000\" height=\"900\"></iframe>";
?>
显然这需要得到保障,但我只是开始学习安全性而且我不能在没有确定安全的情况下上网,任何帮助都会受到赞赏。
答案 0 :(得分:0)
如果您打算回显一个$ _POST值,那么它确实 cant 是安全的。例如,您可以将链接保留在$ _SESSION中。或者将其限制在特定域中,然后通过POST
发送其余的URL<?
$lnk = $_POST[link];
echo ($lnk); echo"<br>";
echo"<iframe src =\"http://domain.com/" . str_replace('@','',$lnk) . "\" width=\"1000\" height=\"900\"></iframe>";
?>
[编辑]
是的,我知道XSS。这就是为什么我说“它确实不能得到保护。”不过,htmlspecialchars如果您仍然决定这样做的话。{/ p>