由于我的网站对XSS攻击的漏洞,我在使网站成为PCI兼容方面遇到了问题。我尝试过使用htmlspecialchars()和htmlentities(),但是Trustwave仍然说我的网站容易受到URL编码的攻击。例如,有人可能会在我要求的url变量中输入类似“%2522%253E%2527%253E%253CIfRaME%253E”的内容,我不知道如何处理。请帮忙!!谢谢:))
答案 0 :(得分:0)
My 2cent:
如果你正在使用MVC,那么在路由之前尝试解码所有值,并使用stript_tags()来摆脱这些恶意。正如docs所说,案件不应影响任何事情。
如果没有,请创建一个实用程序函数,并在从URI中检索变量时执行相同的操作。但我绝不是XSS专家,所以这可能只是其中的一部分。